Hej alla,

Jag har en situation där jag har ett shell script som jag behöver för att köra fjärrinloggning på flera * nix maskiner via SSH. Tyvärr har några av de kommandon i det kräver root-åtkomst. Jag vet att de bästa metoderna för ssh innebära att konfigurera det så att rootkontot kan inte logga in måste du höja till root via su efter att logga in med ett vanligt konto.

Tyvärr tror jag att lämna mig i ett dilemma: Hur i ett manus kan jag höja till roten, sedan kommer det att fråga mig för ett lösenord som jag inte kommer att vara där för att komma in? Eller finns det något annat alternativ från en avancerad säkerhet som gör det möjligt för mig att logga in med ett konto som har rotnivå tillgång till maskinen (men inte själva "root" konto)?

Slutligen, för att bara huvudet denna off: Nej, jag kan inte ställa script i crontab för att köra som root på en viss tid och frekvens. Kraven för detta skript för att köra är: 1) SCP den till / var / tmp, 2) Kör via SSH som root eller root-likvärdiga, 3) skrapa produktion, 4) Execute "rm / var / tmp / script.sh "via SSH för att ta bort den.

Några förslag?

Är privs krävs i samband med filåtkomst?

Prova att lägga till ett konto som kan newgrp till root, bin, adm, mail eller vad grupp kräver att få in filerna i fråga.

Tyvärr har jag redan provat det, och åtminstone ett nyttovärde (ioscan på HP-UX), lägger gruppen verktyget var inte hjälper, och lägger till den grupp som tilldelats blocket enhet man försöker läsa från även gjorde ingenting. I själva verket, dokumentation Jag hittade för ioscan anges var man tvungen att köra som root. (Jag inser att detta blir HP-UX specifika på den punkten, men jag vet att jag haft detta problem med vissa Linux-kommandon också - jag tror att lshal endast kan köras som root per den dokumentation)

Du är förmodligen fastnat med att behöva göra det manuellt, om du inte vill äventyra säkerheten.

En annan dålig val - skriv en daemon - En som kör som root. Skriv temp manus till en skyddad katalog via scp. Har daemon köra skript när det ser ut där, ta bort det, så e det utgång till dig.

Kan du skjuta tillbaka om de begränsningar - som ingen crontab? Du kan alltid förklara för MGT att du kan vara dagar då det har att köra. Anledningen till att jag säger detta - det låter som ett godtyckligt beslut någonstans uppströms.

En kompromiss skulle kunna vara att skapa en ny användare utan lösenord (men ett giltigt skal och hemkatalog) och använda sudo för att köra kommandon som måste köras som root. Användaren kommer att behöva läggas till i / etc / sudoers fil (med hjälp visudo eller editsudo) och finkornig kontroll kan användas för att begränsa de kommandon som ska köras.
Då du behöver för att ställa in SSH-nycklar för användaren kör admin script och nya användare du har skapat, så att de kan ssh i utan ett lösenord.