0

我的环境为节点服务器(Rundeck 服务器)和节点目标(远程 Solaris 主机)之间的用户“master”配置了 SSH 无密码身份验证。

在 Target 上,我想/app/acme/stopApp.sh用 user执行一个脚本appmanager

通常,当我需要手动运行脚本时,我使用:

ssh master@server sudo su - appmanager

或者简单地说:

ssh -t master@server 'sudo su - appmanager'

它可以在没有密码的情况下运行并最终运行(作为 appmanager):

/app/acme/stopApp.sh

但我无法弄清楚如何使用 Net::SSH 重现这些步骤。当我执行sudo su - appmanagerthen/app/acme/stopApp.sh时,我是在子 shell 中执行的,对吗?

require 'rubygems'
require 'net/ssh'
require 'net/scp'
require 'crypt/blowfish'
require 'yaml'

#
# ...
#

Net::SSH.start( host, user, :password => password ) do |session|

  # It's possible to proceed in this way?
  cmd = 'sudo su - appmanager;/app/acme/stopApp.sh'  
  ses = session.exec!( cmd )

end

我意识到,如果我尝试在目标服务器上执行类似的操作:

sudo su -c /app/acme/stopApp.sh appmanager

我收到以下消息:

We trust you have received the usual lecture from the local System Administrator. 

It usually boils down to these three things: 

 #1) Respect the privacy of others. 
 #2) Think before you type. 
 #3) With great power comes great responsibility. Password:

Password:
4

1 回答 1

1

这有点像系统管理员的回答,但我认为您进行了两次身份验证:一次以“master”身份登录(使用 master 的密钥对),然后第二次“master”将 su sudo 到“appmanager”但是使用密码(因此是“讲座”消息)。但我认为你没有第二次回答密码挑战。有几种方法可以解决这个问题:

1) 使用该帐户的密钥对直接以 appmanager 身份登录。如果您担心 appmanager 帐户的安全性,您可以限制 ssh 远程命令等。

2)作为主人,调用一个二进制(不是脚本!),它是setuid作为“appmanager”,它只是调用stopApp.sh脚本。一个例子

3)在 /etc/sudoers 中将master 所在的相应组设置为NOPASSWD 。

于 2012-12-13T19:34:51.827 回答