ssh-agent ඉදිරියට යැවීම සහ වෙනත් පරිශීලකයෙකුට sudo

මම, මා මාගේ ssh යතුර එහෙමවත් සේවාදායකය ඒ ඇති මම "sudo su - විධානය otheruser" හැකියාව ඇති නම්, env විචල්ය ඉවත් නිසා, මම, ප්රධාන යොමු අහිමි හා එම සොකට් මගේ මුල් පරිශීලකයා විසින් පමණක් කියවිය හැකි ය. "Sudo su - otheruser" හරහා මට යතුර ඉදිරියට යැවිය හැකි ක්‍රමයක් තිබේද, එබැවින් මගේ ඉදිරියට යතුර (මගේ නඩුවේ git clone සහ rsync) සමඟ B සේවාදායකයේ දේවල් කළ හැකිද?

මට සිතිය හැකි එකම ක්‍රමය වන්නේ මගේ යතුර වෙනත් පරිශීලක සහ "ssh otheruser @ localhost" වෙත එකතු කිරීමයි, නමුත් එය මා සතුව ඇති සෑම පරිශීලකයෙකුටම සහ සේවාදායක සංයෝජනයකටම කරදරකාරී වේ.

කෙටියෙන්:

$ sudo -HE ssh user@host
(success)
$ sudo -HE -u otheruser ssh user@host
Permission denied (publickey). 

ඔබ සඳහන් කළ පරිදි, sudoආරක්ෂක හේතූන් මත පරිසර විචල්‍යයන් ඉවත් කරනු ලැබේ .

නමුත් වාසනාවකට මෙන් sudoවින්‍යාසගත කළ හැකිය: env_keepවින්‍යාස කිරීමේ විකල්පයට ස්තූතිවන්ත වීමට ඔබට අවශ්‍ය පරිසර විචල්‍යයන් ඔබට හරියටම කිව හැකිය /etc/sudoers.

නියෝජිතයා යොමු කිරීම සඳහා, ඔබ SSH_AUTH_SOCKපරිසර විචල්‍යය තබා ගත යුතුය. එසේ කිරීමට, ඔබේ /etc/sudoersවින්‍යාස ගොනුව සංස්කරණය කරන්න (සෑම විටම භාවිතා කරයි visudo) සහ env_keepසුදුසු පරිශීලකයින්ට විකල්පය සකසන්න . සියලුම පරිශීලකයින් සඳහා මෙම විකල්පය සැකසීමට ඔබට අවශ්‍ය නම්, මේ ආකාරයට Defaultsරේඛාව භාවිතා කරන්න :

Defaults    env_keep+=SSH_AUTH_SOCK

man sudoers වැඩි විස්තර සඳහා.

ඔබ දැන් (ලබා මේ වගේ දෙයක් කරන්න හැකි විය යුතුය user1ගේ පොදු යතුර දක්නට ලැබේ ~/.ssh/authorized_keysතුළ user1@serverAහා user2@serverB, හා serverAගේ /etc/sudoersඉහත සඳහන් පරිදි ගොනු සැකසුම වේ):

user1@mymachine> eval `ssh-agent`  # starts ssh-agent
user1@mymachine> ssh-add           # add user1's key to agent (requires pwd)
user1@mymachine> ssh -A serverA    # no pwd required + agent forwarding activated
user1@serverA> sudo su - user2     # sudo keeps agent forwarding active :-)
user2@serverA> ssh serverB         # goto user2@serverB w/o typing pwd again...
user2@serverB>                     # ...because forwarding still works

sudo -E -s

• -E පරිසරය ආරක්ෂා කරනු ඇත
• -s විධානයක් ක්‍රියාත්මක කරයි, පෙරනිමියෙන් කවචයකට

මුල් යතුරු තවමත් පටවා ඇති මූල කවචයක් මෙය ඔබට ලබා දෙනු ඇත.

ගොනුවට ප්‍රවේශ වීමට වෙනත් පරිශීලකයාට ඉඩ දෙන්න $SSH_AUTH_SOCK, එය නාමාවලිය, උදාහරණයක් ලෙස නිවැරදි ACL මඟින් ඒවා මාරු වීමට පෙර. ආදර්ශය උපකල්පනය Defaults:user env_keep += SSH_AUTH_SOCKදී /etc/sudoersසත්කාරක පරිගණකයේ:

$ ssh -A user@host
user@host$ setfacl -m otheruser:x   $(dirname "$SSH_AUTH_SOCK")
user@host$ setfacl -m otheruser:rwx "$SSH_AUTH_SOCK"
user@host$ sudo su - otheruser
otheruser@host$ ssh server
otheruser@server$

වඩා ආරක්ෂිත වන අතර මූල නොවන පරිශීලකයින් සඳහාද ක්‍රියා කරයි ;-)

මෙයද ක්‍රියාත්මක වන බව මම සොයාගෙන ඇත්තෙමි.

sudo su -l -c "export SSH_AUTH_SOCK=$SSH_AUTH_SOCK; bash"

අනෙක් අය සටහන් කර ඇති පරිදි, ඔබ මාරු වන පරිශීලකයාට $ SSH_AUTH_SOCK හි කියවීමේ අවසර නොමැති නම් මෙය ක්‍රියා නොකරනු ඇත (එය root හැර වෙනත් ඕනෑම පරිශීලකයෙකි). $ SSH_AUTH_SOCK සහ අවසර 777 ලබා ගත යුතු නාමාවලිය සැකසීමෙන් ඔබට මෙය වටහා ගත හැකිය.

chmod 777 -R `dirname $SSH_AUTH_SOCK`
sudo su otheruser -l -c "export SSH_AUTH_SOCK=$SSH_AUTH_SOCK; bash"

මෙය තරමක් අවදානම් සහගත ය. ඔබ මූලිකවම පද්ධතියේ අනෙක් සෑම පරිශීලකයෙකුටම ඔබේ SSH නියෝජිතයා භාවිතා කිරීමට අවසර ලබා දෙයි (ඔබ ඉවත් වන තුරු). ඔබට කණ්ඩායම සැකසීමට සහ අවසර 770 ට වෙනස් කිරීමට හැකි විය හැකිය, එය වඩාත් ආරක්ෂිත විය හැකිය. කෙසේ වෙතත්, මම කණ්ඩායම වෙනස් කිරීමට උත්සාහ කළ විට, මට "මෙහෙයුමට අවසර නැත".

ඔබට අවසර දී ඇත්නම් , වලංගු පොදු යතුරක් සමඟ US USER හි නිවාස නාමාවලියෙහි ඒ වෙනුවට sudo su - $USERකිරීමට අවසර දීම සඳහා ඔබට හොඳ තර්කයක් තිබිය හැකිය ssh -AY $USER@localhost. එවිට ඔබේ සත්‍යාපන ඉදිරිපත් කිරීම ඔබ සමඟ ගෙන යනු ඇත.

ඔබට සැමවිටම sudo භාවිතා කරනවා වෙනුවට නියෝජිතයා ඉදිරියට යැවීමෙන් localhost වෙත මාරු විය හැකිය:

ssh -A otheruser@localhost

අවාසිය නම් ඔබට නැවත පුරනය වීමට අවශ්‍ය වීමයි, නමුත් ඔබ එය තිර / ටීඑම්එක්ස් ටැබ් එකක භාවිතා කරන්නේ නම් එය එක් වරක් පමණක් වන උත්සාහයකි, කෙසේ වෙතත්, ඔබ සේවාදායකයෙන් විසන්ධි වුවහොත් සොකට් එක නැවත කැඩී යනු ඇත. . එබැවින් ඔබගේ තිරය / ටීඑම්එක්ස් සැසිය සෑම විටම විවෘතව තබා ගත නොහැකි නම් එය වඩාත් සුදුසු නොවේ (කෙසේ වෙතත්, ඔබ SSH_AUTH_SOCKසිසිල් නම් ඔබේ එන්වී වර් අතින් යාවත්කාලීන කළ හැකිය ).

Ssh ඉදිරියට යැවීමේදී, root හට සැමවිටම ඔබේ සොකට්ටුවට ප්‍රවේශ විය හැකි අතර ඔබේ ssh සත්‍යාපනය භාවිතා කළ හැකිය (ඔබ ssh ඉදිරියට යැවීම සමඟ ලොග් වී සිටින තාක් කල්). එබැවින් ඔබට root විශ්වාස කළ හැකි බවට වග බලා ගන්න.

භාවිතා නොකරන්න sudo su - USER , ඒ වෙනුවට sudo -i -u USER. මා වෙනුවෙන් වැඩ කරයි!

මා විසින් ඉදිරිපත් කරන ලද අනෙක් පිළිතුරු වලින් තොරතුරු ඒකාබද්ධ කිරීම:

user=app
setfacl -m $user:x $(dirname "$SSH_AUTH_SOCK")
setfacl -m $user:rwx "$SSH_AUTH_SOCK"
sudo SSH_AUTH_SOCK="$SSH_AUTH_SOCK" -u $user -i

sudoersගොනුව සංස්කරණය කිරීමට අවශ්‍ය නැති නිසා මම මේකට කැමතියි .

උබුන්ටු 14.04 හි පරීක්ෂා කර ඇත ( aclපැකේජය ස්ථාපනය කිරීමට සිදු විය ).

ඔබගේ -විධානයෙන් පසු (ඩෑෂ්) විකල්පය සමඟ ගැටළුවක් ඇතැයි මම සිතමි su:

sudo su - otheruser

ඔබ su හි man පිටුව කියවන්නේ නම් , විකල්පය -, -l, --loginමඟින් ෂෙල් පරිසරය පිවිසුම් කවචයක් ලෙස ආරම්භ වන බව ඔබට පෙනී යනු ඇත. otheruserඔබ ධාවනය වන env විචල්‍යයන් නොසලකා මෙය පරිසරය වනු ඇත su.

සරලව කිවහොත්, ඉර ඉර ඔබ පසු කළ ඕනෑම දෙයක් අඩපණ sudoකරයි.

ඒ වෙනුවට, ඔබ මෙම විධානය උත්සාහ කළ යුතුය:

sudo -E su otheruser

@ Joao-costa පෙන්වා දුන් පරිදි, -Eඔබ දිව ගිය පරිසරයේ සියලු විචල්‍යයන් ආරක්ෂා කරනු ඇත sudo. ඉරක් නොමැතිව, suඑම පරිසරය කෙලින්ම භාවිතා කරනු ඇත.

අවාසනාවකට ඔබ වෙනත් පරිශීලකයෙකුට නඩු පවරන විට (හෝ සුඩෝ භාවිතා කිරීමට පවා) ඔබගේ ඉදිරියට යැවූ යතුරු භාවිතා කිරීමේ හැකියාව ඔබට අහිමි වේ. මෙය ආරක්ෂක ලක්ෂණයකි: අහඹු පරිශීලකයින් ඔබේ ssh- නියෝජිතයා හා සම්බන්ධ වී යතුරු භාවිතා කිරීම ඔබට අවශ්‍ය නැත :)

"Ssh -Ay $ {USER @ ocalcalhost" ක්‍රමය ටිකක් අවුල් සහගතයි (සහ ඩේවිඩ්ගේ පිළිතුර කැඩී බිඳී යාමේ අවදානම පිළිබඳ මගේ අදහස් දැක්වීමේදී සඳහන් කර ඇති පරිදි), නමුත් එය ඔබට කළ හැකි හොඳම දේ විය හැකිය.