Як я можу запустити довільно складну команду за допомогою sudo над ssh?

У мене є система, до якої я можу входити лише під своїм ім'ям користувача (myuser), але мені потрібно запускати команди як інший користувач (сценарій). Поки що я придумав наступне для запуску потрібних мені команд:

ssh -tq myuser@hostname "sudo -u scriptuser bash -c \"ls -al\""

Якщо все ж, коли я намагаюся запустити більш складну команду, наприклад, [[ -d "/tmp/Some directory" ]] && rm -rf "/tmp/Some directory"я швидко потрапляю в проблеми з цитуванням. Я не впевнений, як я міг би передати цю прикладну складну команду bash -c, коли \"вже розмежовує межі команди , яку я передаю (і тому я не знаю, як цитувати / tmp / Some каталог, який включає пробіли.

Чи є загальне рішення, яке дозволяє мені передавати будь-яку команду, незалежно від того, наскільки складне / божевільне цитування, чи це якесь обмеження я досягнув? Чи існують інші можливі та, можливо, читабельніші рішення?

Трюк, який я інколи використовую, полягає у використанні base64 для кодування команд та передачі його на bash на іншому сайті:

MYCOMMAND=$(base64 -w0 script.sh)
ssh user@remotehost "echo $MYCOMMAND | base64 -d | sudo bash"

Це кодує скрипт із будь-якими комами, зворотніми косою рисою, котируваннями та змінними всередині безпечної рядки та надсилає його на інший сервер. ( -w0потрібно відключити обертання рядків, що відбувається у стовпці 76 за замовчуванням). З іншого боку, $(base64 -d)розшифрує скрипт і подасть його в bash для виконання.

У мене ніколи не виникало проблем з цим, незалежно від того, наскільки складним був сценарій. Вирішує проблему втечі, тому що вам нічого не потрібно бігти. Він не створює файл на віддаленому хості, і ви можете легко запускати дуже складні сценарії.

Бачите -ttваріант? Прочитайте ssh(1)посібник.

ssh -tt root@host << EOF
sudo some # sudo shouldn't ask for a password, otherwise, this fails. 
lines
of
code 
but be careful with \$variables
and \$(other) \`stuff\`
exit # <- Important. 
EOF

Одне, що я часто роблю, - це використовувати vim та використовувати :!cat % | ssh -tt somemachineтрюк.

Я думаю, що найпростіше рішення полягає в модифікації коментаря @ thanasisk.

Створіть сценарій, scpйого на машині, а потім запустіть.

Попросіть сам сценарій rmна початку. Оболонка відкрила файл, тому він завантажується, а потім може бути видалений без проблем.

Виконуючи цей порядок (по- rmперше, інші речі вдруге), він навіть буде видалений, коли в якийсь момент він вийде з ладу.

Ви можете використовувати %qспецифікатор формату, printfщоб подбати про зміну змінної для вас:

cmd="ls -al"
printf -v cmd_str '%q' "$cmd"
ssh user@host "bash -c $cmd_str"

printf -vзаписує результат у змінну (у цьому випадку $cmd_str). Я думаю, що це найпростіший спосіб зробити це. Не потрібно переносити жодні файли чи кодувати командний рядок (наскільки мені подобається трюк).

Ось більш складний приклад, який показує, що він працює і для квадратних дужок і амперсандів:

$ ssh user@host "ls -l test"
-rw-r--r-- 1 tom users 0 Sep  4 21:18 test
$ cmd="[[ -f test ]] && echo 'this really works'"
$ printf -v cmd_str '%q' "$cmd"
$ ssh user@host "bash -c $cmd_str"
this really works

Я не перевіряв його, sudoале він повинен бути таким же простим, як:

ssh user@host "sudo -u scriptuser bash -c $cmd_str"

Якщо ви хочете, ви можете пропустити крок і уникнути створення проміжної змінної:

$ ssh user@host "bash -c $(printf '%q' "$cmd")"
this really works

Або навіть просто уникайте створення змінної повністю:

ssh user@host "bash -c $(printf '%q' "[[ -f test ]] && echo 'this works as well'")"

Ось "правильний" (синтаксичний) спосіб виконати щось подібне в bash:

ssh user@server "$( cat <<'EOT'
echo "Variables like '${HOSTNAME}' and commands like $( uname -a )"
echo "will be interpolated on the server, thanks to the single quotes"
echo "around 'EOT' above.
EOT
)"

ssh user@server "$( cat <<EOT
echo "If you want '${HOSTNAME}' and $( uname -a ) to be interpolated"
echo "on the client instead, omit the the single quotes around EOT."
EOT
)"

Для детального пояснення того, як це працює, перегляньте https://stackoverflow.com/a/21761956/111948

Чи знаєте ви, що ви можете скористатись sudoоболонкою, де можна виконувати команди як обраний користувач?

-і, --логін

Запустіть оболонку, вказану вводом бази даних пароля цільового користувача, як оболонку для входу. Це означає, що оболонки зчитуються специфічними для входу файлами ресурсів, такими як .profile або .login. Якщо вказана команда, вона передається в оболонку для виконання через опцію -c оболонки. Якщо команда не вказана, виконується інтерактивна оболонка. sudo намагається змінити домашній каталог цього користувача перед запуском оболонки. Команда виконується з оточенням, подібним до того, яке отримував би користувач під час входу. Розділ «Команда довкілля» в ручному документі «Судори» (5) визначає, як опція -i впливає на середовище, в якому виконується команда, коли застосовується політика судорів.

Ви можете визначити сценарій на своїй локальній машині, а потім catпередати його на віддалену машину:

user@host:~/temp> echo "echo 'Test'" > fileForSsh.txt
user@host:~/temp> cat fileForSsh.txt | ssh localhost

Pseudo-terminal will not be allocated because stdin is not a terminal.
stty: standard input: Invalid argument
Test

Просто і легко.

ssh user @ servidor "bash -s" <script.sh

Якщо ви використовуєте досить сучасну оболонку Bash, ви можете розмістити свої команди у функції та роздрукувати цю функцію як рядок, використовуючи export -p -f function_name. Результат цього рядка може містити довільні команди, які не обов'язково повинні виконуватись як корінь.

Приклад використання труб з моєї відповіді на Unix.SE :

#!/bin/bash
remote_main() {
   local dest="$HOME/destination"

   tar xzv -C "$dest"
   chgrp -R www-data "$dest"
   # Ensure that newly written files have the 'www-data' group too
   find "$dest" -type d -exec chmod g+s {} \;
}
tar cz files/ | ssh user@host "$(declare -pf remote_main); remote_main"

Приклад, який отримує, зберігає файл для користувача, який входить у систему, і встановлює програму root:

remote_main() {
    wget https://example.com/screenrc -O ~/.screenrc
    sudo apt-get update && sudo apt-get install screen
}
ssh user@host "$(declare -pf remote_main); remote_main"

Якщо ви хочете запустити всю команду за допомогою sudo, ви можете скористатися цією функцією:

remote_main() {
    wget https://example.com/screenrc -O ~user/.screenrc
    apt-get update && apt-get install screen
}
ssh user@host "$(declare -pf remote_main);
    sudo sh -c \"\$(declare -pf remote_main); remote_cmd\""
# Alternatively, if you don't need stdin and do not want to log the command:
ssh user@host "$(declare -pf remote_main);
    (declare -pf remote_main; echo remote_cmd) | sudo sh"

Ось моє (не дуже перевірене) шалене рішення для цього:

#!/usr/bin/env ruby
# shell-escape: Escape each argument.
ARGV.each do|a|
  print " '#{a.gsub("'","\'\\\\'\'")}' "
end

Ви не можете:

ssh -tq myuser@hostname "$(shell-escape sudo -u scriptuser bash -c "$(shell-escape ls -al)")"

Наступним кроком є ​​створення bettersshсценарію, який вже робить це:

betterssh -tq myuser@hostname sudo -u scriptuser bash -c "$(shell-escape ls -al)"

Для цих із вас, кому потрібно передавати параметри до сценарію, слід наступним чином:

ssh user@remotehost "echo `base64 -w0 script.sh` | base64 -d | sudo bash -s <param1> <param2> <paramN>"

Спочатку створіть локальний скрипт, а потім виконайте його віддалено, використовуючи команду follow:

cat <Local Script.sh> | ssh user@server "cat - | sudo -u <user> /bin/bash"