Salut à tous,

J'ai une situation où j'ai un script shell que j'ai besoin d'exécuter à distance sur plusieurs machines * nix via SSH. Malheureusement, certaines des commandes nécessitent un accès root. Je sais que les meilleures pratiques pour la configuration de ssh entraîner de façon à ce que le compte root ne pouvez pas vous connecter, vous devez vous élever à root via su après la connexion avec un compte ordinaire.

Malheureusement, cela semble de me laisser dans un dilemme: comment dans un script puis-je élever à la racine, car il l'invite à me demande un mot de passe que je ne serai pas là pour entrer? Ou, est-il une autre alternative à partir d'une perspective de sécurité avancées qui me permettra de vous connecter avec un compte root qui a accès au niveau de la machine (mais ce n'est pas le "root" compte)?

Enfin, juste à la tête de ce off: Non, je ne peux pas régler le script en crontab pour exécuter en tant que root à un certain temps / fréquence. Les exigences pour ce script à exécuter est la suivante: 1) à SCP / var / tmp; 2) Exécuter en tant que root via SSH ou root-équivalent; 3) gratter la sortie; 4) Execute "rm / var / tmp / script.sh "via SSH pour l'enlever.

Des suggestions?

Les privs nécessaires relatives à l'accès aux fichiers?

Essayez d'ajouter un compte qui peut newgrp à la racine, bin, adm, mail ou quel que soit le groupe dont il a besoin pour entrer dans les fichiers en question.

Malheureusement, j'ai déjà essayé cela, et au moins avec un utilitaire (ioscan sur HP-UX), en ajoutant le groupe a été l'utilité de ne pas aider, et d'ajouter le groupe assigné au périphérique bloc, il essayait de lire aussi de ne rien faire. En fait, j'ai trouvé de la documentation ioscan déclaré qu'il devait être exécuté en tant que root. (Je me rends compte c'est faire de HP-UX, à ce point précis, mais je sais que j'ai eu ce problème avec certaines commandes Linux ainsi - je crois que lshal ne peut être exécuté en tant que root par sa documentation)

Vous êtes probablement bloqué dans l'obligation de le faire manuellement, si vous ne voulez pas compromettre la sécurité.

Un autre mauvais choix - écrire une daemon - Qui fonctionne en tant que root. Écrivez le script à une température répertoire protégé par scp. Demandez aux daemon exécuter le script quand il le voit donc de la supprimer, puis envoyez un courriel à la sortie pour vous.

Pouvez-vous repousser les limites - pas comme crontab? Vous pouvez toujours expliquer à mgt que vous être à jour mai quand cela doit fonctionner. La raison pour laquelle je dis cela - il sonne comme une décision arbitraire quelque part en amont.

Un autre compromis pourrait être de créer un nouvel utilisateur sans mot de passe (mais un shell valide et le répertoire home), et d'utiliser sudo pour exécuter les commandes qui doivent être gérées en tant que root. L'utilisateur devra être ajouté au fichier / etc / sudoers fichier (avec visudo ou editsudo) et à grains fins de contrôle peut être utilisé ici pour limiter les commandes qui doivent être exécutés.
Ensuite, vous devrez configurer les clés ssh pour l'utilisateur qui exécute le script d'administration et les nouveaux utilisateurs que vous avez créé, afin qu'ils puissent en ssh sans mot de passe.