Привет всем,

У меня есть ситуации, когда у меня есть скрипт, мне нужно удаленно запускать на нескольких машинах * NIX через SSH. К сожалению, некоторые команды, в ней нуждаются корневой доступ. Я знаю, что наилучшей практики по SSH привести его настроить таким образом, чтобы корень счета не может войти в систему, вам необходимо возвести в корень через Су войдя в систему с помощью регулярного счета.

К сожалению, это, наверное, оставить меня в дилемма: как в скрипте я могу поднять до корня, поскольку это будет стимулировать меня пароль, что мне не будет там ввести? Или, есть некоторые другие альтернативы с точки зрения безопасности, современные, что позволит мне войти в систему с помощью учетной записи, имеет корневой уровень доступа к машине (но не саму "корневого" счета)?

Наконец, только для того, чтобы покинуть эту голову: нет, я не могу установить скрипт в Crontab запускать как корневой на определенном времени и частоты. Требования для этого скрипт для запуска: 1) УПП его / VAR / TMP, 2) Запустить через SSH как корень корневой или эквивалент; 3) наскребать выходной, 4) Запустить "RM / VAR / TMP / script.sh "через SSH, чтобы удалить его.

Любые предложения?

Являются ли privs необходимых файлов, связанных с доступом?

Попробуйте добавить в учетную запись, которая может newgrp к корневому каталогу, BIN, ADM, по почте или любой группы она требует, чтобы попасть в файлы идет речь.

К сожалению, я уже попытался это, по крайней мере с одной утилиты (ioscan на HP-UX), добавив в группу утилита была не помогло, и добавить группу возложена на блок устройства он пытается прочитать из также ничего не сделали. В самом деле, я обнаружил, документация для ioscan заявила она должна быть запущена в качестве корневого. (Я понимаю, это получение HP-UX на данный конкретный момент, но я знаю, я имел эту проблему с некоторыми Linux команды, а - Я считаю, что lshal можно запускать в качестве корневой за его документации)

Вы, вероятно, застрял с тем, что делать это вручную, если вы не хотите идти на компромисс безопасности.

Одна другой бедный выбор - написать демон - Который работает в качестве корневого. Написать сценарий для Temp защищенной директории через УПП. Имеют демон запустить сценарий, когда он видит там, удалите его, а затем сообщение о выходе к вам.

Вы можете нажать на задней ограничений - как не Crontab? Вы всегда можете объяснить МГТ, что можно из дней, когда это в перспективе. Причина, я говорю об этом - это звучит как произвольные решения, то вверх по течению.

Другим компромиссом могло бы стать создание нового пользователя с паролем нет (но действующий корпус и домашний каталог), а также использование Sudo для запуска команд, которые должны быть запущены в качестве корневого. Пользователю нужно будет добавить в / ETC / sudoers файл (с помощью visudo или editsudo) и мелкозернистой контроля могут быть использованы, чтобы ограничить команд, которые должны быть запущены.
Тогда вам нужно установить SSH-ключи для пользователя работает администратором сценарий и новых пользователей вы создали, чтобы они могли в SSH без пароля.