Oi tudo,

Tenho uma situação em que eu tenho um script que eu preciso para executar remotamente em vários * nix máquinas via SSH. Infelizmente, alguns dos comandos, em que requerem acesso root. Sei que as melhores práticas para configurar o ssh implica que, para que a conta root não pode efetuar o login, você precisa para elevar a raiz através de su após efetuar login com uma conta normal.

Infelizmente, isto parece-me deixar em um dilema: Como em um script posso elevar a raiz, uma vez que irá solicitar uma senha para mim que eu não vou estar lá para entrar? Ou, se há alguma outra alternativa a partir de uma perspectiva de segurança avançada que permita-me que faça login com uma conta que tem acesso à raiz da máquina (mas não é o real "root" conta)?

Finalmente, apenas a cabeça isto: Não, eu não posso definir o script na crontab para ser executado como root em um determinado período de tempo / frequência. Os requisitos para este script para ser executado é o seguinte: 1) SCP-lo para / var / tmp; 2) Execute via SSH como root ou raiz-equivalente; 3) raspar a saída; 4) Executar "rm / var / tmp / script.sh "via SSH para removê-lo.

Alguma sugestão?

São as relacionadas com o arquivo privs exigido acesso?

Tente adicionar uma conta que pode newgrp para o root, bin, adm, e-mail ou qualquer grupo que necessita para entrar na arquivos em questão.

Infelizmente eu já tentei isso, e pelo menos com um utilitário (ioscan em HP-UX), adicionando o grupo de utilidade foi em não ajudar, e acrescentando o grupo atribuiu ao bloco dispositivo que estava a tentar ler a partir também não fez nada. De fato, a documentação que encontrei para ioscan afirmou que tinha que ser executado como root. (Sei que isto está a HP-UX específico neste momento, mas sei que tive este problema com alguns comandos bem como o Linux - Creio que lshal só pode ser executado como root é por documentação)

Está preso com provavelmente ter que fazer isso manualmente, se não quiser comprometer a segurança.

Uma outra má escolha - escrever uma daemon - Uma que funciona como root. Escreva o temp script para um diretório protegido através scp. Já o daemon executar o script, quando vê-lo lá fora, excluí-la, então a saída e-mail para você.

Pode me empurrar de volta sobre as limitações - como não crontab? Você sempre pode explicar-mgt que pode estar fora dias, quando este tem de correr. A razão por que digo isto - soa como uma decisão arbitrária algures montante.

Outro compromisso poderia ser a de criar um novo usuário, sem senha (válido, mas um shell e diretório home), e poderá utilizar o sudo para executar os comandos que devem ser executado como root. O utilizador terá de ser adicionado ao arquivo / etc / sudoers (arquivo usando visudo ou editsudo) e de grão fino controle pode ser usado para limitar aqui os comandos que têm de ser executado.
Em seguida, você precisará configurar o ssh chaves para o usuário que executa o admin script e os novos usuários que você criou, para que eles possam sem ssh em um prompt de senha.