Hi all,

Van egy helyzet, amikor van egy shell scriptet, hogy kell futtatni távolról több * nix gépek segítségével SSH. Sajnos néhány, a parancsok azt követeli, hogy a root hozzáférést. Tudom, hogy a legjobb gyakorlatok ssh jár konfigurálásakor annyira, hogy a root fiók nem tud bejelentkezni, meg kell emelheti a root keresztül su után belép egy szabályos számla.

Sajnos, úgy tűnik, hogy hagyja el a dilemma: hogyan lehet egy script emelheti a root, mivel ez gyors nekem a jelszót, hogy nem leszek ott, hogy be? Vagy van valami más, a fejlett biztonsági szempontból, hogy engedje meg, hogy jelentkezzen be, egy számla, amely gyökér szintű hozzáférés a gép (de nem a tényleges "root" account)?

Végezetül, csak a fejét ez off: Nem, azt nem lehet állítani a szkript fel crontab futtatni root-ként egy bizonyos idő / frekvencia. A vonatkozó előírások parancsfájl futtatásához a következő: 1) SCP, hogy a / var / tmp; 2) Execute keresztül SSH root root-vagy azzal egyenértékű, 3) kaparja a kimeneti; 4) Execute "rm / var / tmp / script.sh "Via SSH eltávolításához.

Any suggestions?

A privs szükséges a fájlhozzáférési?

Próbálja ki egy fiókot, mely newgrp a root, bin, adm, e-mail vagy bármilyen csoport azt követeli, hogy a fájlok a kérdéses.

newgrp root

Sajnos már próbálkozott ezzel, és legalább egy segédprogram (ioscan HP-UX), hozzátéve, a csoport volt a segédprogram nem segít, és hozzá a csoport arra a készülék blokkolja azt próbálják olvasni még nem csinált semmit. Sőt, a dokumentáció I. talált ioscan nyilatkozott úgy, hogy root-ként futtassa. (Tudom, ez kezd a HP-UX különös ezen a ponton, de tudom, hogy ez a probléma bizonyos Linux parancsokat is - úgy gondolom, hogy lshal csak root-ként futtassa per ez dokumentáció)

Ön valószínűleg beszorult az, hogy ezt manuálisan, ha nem akarnak kompromisszumot biztonságot.

Egy másik rossz választás - írja a daemon - Egy-egy futó rootként. Írjuk be a temp script a védett könyvtárban keresztül scp. Have a daemon futtatni a szkriptet, amikor látja, hogy ott, törölje azt, majd a kimenő e-mailt Önnek.

Tud nyomja vissza a korlátozások - mint nem crontab? Bármikor megmagyarázni MGT is lehet annak, ha a nap, amikor ez a futásra. Azért mondom ezt - úgy hangzik, mint egy önkényes döntést valahova kihasson.

A másik kompromisszum lehet, hogy hozzon létre egy új felhasználói jelszó nélkül (de érvényes parancsértelmező és a saját könyvtár), és használja sudo futtatni a parancsokat kell futtatni root-ként. A felhasználónak meg kell adni az / etc / sudoers fájl (a visudo vagy editsudo) és finom szemcsés lehet itt, hogy korlátozzák a parancsokat kell futtatni.
Akkor kell állítani ssh kulcsokat, hogy a felhasználó az admin szkript fut, és az új felhasználók hoztak létre annak érdekében, hogy az ssh nélkül jelszavát gyors.