modo corretto di sudo su ssh

Ho uno script che esegue un altro script tramite SSH su un server remoto usando sudo. Tuttavia, quando digito la password, viene visualizzata sul terminale. (Altrimenti funziona bene)

ssh user@server "sudo script"

Qual è il modo corretto per farlo in modo che io possa digitare la password per sudo su SSH senza che la password compaia mentre scrivo?

Un altro modo è utilizzare l' -tinterruttore per ssh:

ssh -t user@server "sudo script"

Vedi man ssh:

 -t      Force pseudo-tty allocation.  This can be used to execute arbi-
         trary screen-based programs on a remote machine, which can be
         very useful, e.g., when implementing menu services.  Multiple -t
         options force tty allocation, even if ssh has no local tty.

Sono stato in grado di automatizzarlo completamente con il seguente comando:

echo pass | ssh -tt user@server "sudo script"

vantaggi:

• nessuna richiesta di password
• non mostrerà la password nella cronologia bash della macchina remota

Per quanto riguarda la sicurezza: come ha detto Kurt , l'esecuzione di questo comando mostrerà la tua password nella cronologia bash locale ed è meglio salvare la password in un file diverso o salvare il comando all in un file .sh ed eseguirlo. NOTA: il file deve disporre delle autorizzazioni corrette in modo che solo gli utenti autorizzati possano accedervi.

Supponendo che non si desideri richiedere la password :

ssh $HOST 'echo $PASSWORD | sudo -S $COMMMAND'

Esempio

ssh me@localhost 'echo secret | sudo -S echo hi' # outputs 'hi'

Sudo su SSH passando una password, non è necessario:

Puoi usare sudo su ssh senza forzare ssh ad avere una pseudo-tty (senza l'uso dell'opzione ssh "-t") dicendo a sudo di non richiedere una password interattiva e di prendere la password da stdin. Puoi farlo usando l'opzione "-S" su sudo. Questo fa in modo che sudo ascolti la password su stdin e interrompa l'ascolto quando vede una nuova riga.

Esempio 1 - Comando remoto semplice

In questo esempio, inviamo un semplice whoamicomando:

$ ssh user@server cat \| sudo --prompt="" -S -- whoami << EOF
> <remote_sudo_password>
root

Stiamo dicendo a sudo di non inviare un prompt e di prendere il suo input da stdin. Questo rende la password sudo completamente silenziosa, quindi l'unica risposta che ricevi è l'output whoami.

Questa tecnica ha il vantaggio di consentire l'esecuzione di programmi tramite sudo su ssh che a loro volta richiedono input da stdin. Questo perché sudo sta consumando la password sulla prima riga di stdin, quindi lasciando che qualunque programma esegua continui a catturare stdin.

Esempio 2 - Comando remoto che richiede il proprio stdin

Nel seguente esempio, il comando remoto "cat" viene eseguito tramite sudo e stiamo fornendo alcune linee extra tramite stdin per la visualizzazione del gatto remoto.

$ ssh user@server cat \| sudo --prompt="" -S -- "cat" << EOF
> <remote_sudo_password>
> Extra line1
> Extra line2
> EOF
Extra line1
Extra line2

L'output dimostra che la <remote_sudo_password>linea viene consumata da sudo e che il gatto eseguito in remoto visualizza quindi le linee extra.

Un esempio di dove ciò sarebbe utile è se si desidera utilizzare ssh per passare una password a un comando privilegiato senza utilizzare la riga di comando. Ad esempio, se si desidera montare un contenitore crittografato remoto su SSH.

Esempio 3 - Montaggio di un contenitore VeraCrypt remoto

In questo script di esempio, stiamo montando in remoto un contenitore VeraCrypt tramite sudo senza alcun testo di richiesta aggiuntivo:

#!/bin/sh
ssh user@server cat \| sudo --prompt="" -S -- "veracrypt --non-interactive --stdin --keyfiles=/path/to/test.key /path/to/test.img /mnt/mountpoint" << EOF
SudoPassword
VeraCryptContainerPassword
EOF

Va notato che in tutti gli esempi della riga di comando sopra (tutto tranne lo script) il << EOFcostrutto sulla riga di comando farà sì che tutto ciò che viene digitato, inclusa la password, sia registrato nella .bash_history della macchina locale . Pertanto, si consiglia vivamente di utilizzarlo interamente per il mondo reale tramite uno script, come nell'esempio di veracrypt sopra, oppure, se sulla riga di comando, inserire la password in un file e reindirizzare quel file tramite ssh.

Esempio 1a - Esempio 1 senza password della riga di comando locale

Il primo esempio sarebbe quindi:

$ cat text_file_with_sudo_password | ssh user@server cat \| sudo --prompt="" -S -- whoami
root

Esempio 2a - Esempio 2 senza password della riga di comando locale

e il secondo esempio diventerebbe:

$ cat text_file_with_sudo_password - << EOF | ssh va1der.net cat \| sudo --prompt="" -S -- cat
> Extra line1
> Extra line2
> EOF
Extra line1
Extra line2

Inserire la password in un file separato non è necessario se si inserisce tutto in uno script, poiché il contenuto degli script non finisce nella cronologia. Tuttavia, può essere utile nel caso in cui si desideri consentire agli utenti che non devono vedere la password di eseguire lo script.

Il modo migliore è ssh -t user@server "sudo <scriptname>", per esempio ssh -t user@server "sudo reboot". Richiederà prima la password per l'utente e poi il root (poiché stiamo eseguendo lo script o il comando con il privilegio di root.

Spero che abbia aiutato e chiarito i tuoi dubbi.

NOPASSnella configurazione sulla macchina target è la soluzione. Continua a leggere su http://maestric.com/doc/unix/ubuntu_sudo_without_password

echo $VAR_REMOTEROOTPASS | ssh -tt -i $PATH_TO_KEY/id_mykey $VAR_REMOTEUSER@$varRemoteHost 
echo \"$varCommand\" | sudo bash

Ho affrontato un problema,

user1@server1$ ssh -q user1@server2 sudo -u user2 rm -f /some/file/location.txt

Output:
sudo: no tty present and no askpass program specified

Poi ho provato con

#1
vim /etc/sudoers
Defaults:user1    !requiretty

non ha funzionato

#2
user1   ALL=(user2)         NOPASSWD: ALL

che ha funzionato correttamente!

A seconda del tuo utilizzo, ho avuto successo con quanto segue:

ssh root@server "script"

Ciò richiederà la password di root e quindi eseguirà il comando correttamente.