Hi all,

Ich habe eine Situation, wo ich ein Shell-Skript, die ich benötige, um das Netzwerk auf mehreren * nix-Maschinen über SSH. Leider sind einige der Befehle in der es erfordern root-Zugriff. Ich weiß, dass die besten Praktiken für SSH zu konfigurieren, so dass der root-Account nicht anmelden können, müssen Sie über Root-Aufwertung zu su nach der Anmeldung mit einem regulären Account.

Leider scheint dies zu verlassen, mich in einem Dilemma: Wie in einem Skript kann ich erheben zu root, da sie mich für ein Passwort, dass ich nicht da sein, um? Oder gibt es eine andere alternative von einer erweiterten Sicherheit Perspektive, die mir zu melden Sie sich mit einem Konto mit Root-Zugriff auf den Rechner (jedoch nicht die eigentliche "root"-Konto)?

Schließlich, nur an der Spitze dieser sich aus: Nein, ich kann nicht das Skript in crontab, um als root zu einer bestimmten Zeit / Frequenz. Die Anforderungen für dieses Skript ist: 1) SCP nach / var / tmp, 2) Führen Sie via SSH als root oder root-Äquivalent; 3) kratzen die Ausgabe, 4) Ausführen "rm / var / tmp / script.sh "via SSH, um es zu entfernen.

Haben Sie Vorschläge?

Sind die privs erforderlich in Bezug auf Datei-Zugang?

Versuche, ein Konto, kann newgrp der root, bin, adm, E-Mail oder was für eine Gruppe es erfordert, um in die Dateien in Frage.

Leider habe ich bereits versucht, und mindestens mit einem Programm (ioscan auf HP-UX), sind die Utility-Gruppe wurde in nicht helfen, und das Hinzufügen der Gruppe auf den Block Device wurde versucht, von dem gelesen werden auch nichts. In der Tat, ich Dokumentation zu ioscan erklärt, sie habe als Root ausgeführt werden. (Ich weiß, das ist immer HP-UX-spezifischen an diesem Punkt, aber ich weiß, hatte ich dieses Problem mit einigen Linux-Befehle und - ich glaube, dass lshal kann nur als root pro es in der Dokumentation)

Sie sind wahrscheinlich stecken, ohne dies manuell zu tun, wenn Sie nicht möchten, dass die Sicherheit.

Eine weitere schlechte Wahl - schreiben Sie eine Daemon - Eines, das als root. Schreiben Sie die Temp-Skript zu einem geschützten Verzeichnis über scp. Haben die Daemon führen Sie das Skript, wenn es sieht, es gibt, löschen Sie ihn, dann die E-Mail-Ausgabe auf Sie.

Können Sie Push wieder auf die Grenzen - wie kein crontab? Sie können jederzeit erklären, Mgt, dass Sie möglicherweise nicht mehr Tage, an denen dies zu laufen. Der Grund, warum ich sagen - es klingt wie eine willkürliche Entscheidung irgendwo im Upstream.

Ein weiterer Kompromiss könnte sein, erstellen Sie einen neuen Benutzer ohne Passwort (aber eine gültige Shell und Home-Verzeichnis), und die Verwendung von sudo, um die Befehle, die als Root ausgeführt werden. Der Anwender muss in die / etc / sudoers-Datei (mit visudo oder editsudo) und Feinkörnigkeit Kontrolle verwendet werden können, um hier die Befehle, die es zu laufen.
Dann müssen Sie SSH-Schlüssel für die Benutzer, der den Admin-Skript und den neuen Benutzer aus, die Sie erstellt haben, so dass sie in ssh ohne Passwort-Prompt.