ssh- এজেন্ট ফরোয়ার্ডিং এবং অন্য ব্যবহারকারীকে sudo

আমার যদি এমন একটি সার্ভার থাকে যেখানে আমি আমার এসএস কী দিয়ে লগইন করতে পারি এবং আমার মধ্যে "sudo su - otheruser" করার ক্ষমতা আছে, আমি কী ফরোয়ার্ডিং হারাব, কারণ এনভির ভেরিয়েবলগুলি সরানো হয়েছে এবং সকেটটি কেবলমাত্র আমার আসল ব্যবহারকারী দ্বারা পঠনযোগ্য। "Sudo su - otheruser" এর মাধ্যমে কী ফরোয়ারিংটি ব্রিজ করার কোনও উপায় আছে, তাই আমি আমার ফরোয়ার্ড কী (গিট ক্লোন এবং আমার ক্ষেত্রে আরএসসিএনসি) দিয়ে একটি সার্ভার বিতে স্টাফ করতে পারি?

আমি যেভাবে ভাবতে পারি তা হল আমার চাবিটি অন্য ব্যবহারকারীর অনুমোদিত_কি এবং "ssh otheruser @ লোকালহোস্ট" এ যুক্ত করা, তবে আমার যে ব্যবহারকারী এবং সার্ভারের সংমিশ্রণটি তা থাকতে পারে তা আমার পক্ষে জটিল।

সংক্ষেপে:

$ sudo -HE ssh user@host
(success)
$ sudo -HE -u otheruser ssh user@host
Permission denied (publickey). 

যেমনটি আপনি উল্লেখ করেছেন, পরিবেশগত পরিবর্তনগুলি sudoসুরক্ষার কারণে, দ্বারা সরানো হবে ।

তবে সৌভাগ্যক্রমে sudoবেশ কনফিগারযোগ্য: আপনি env_keepকনফিগারেশন বিকল্পের জন্য কোন পরিবেশের ভেরিয়েবলকে ধন্যবাদ রাখতে চান তা আপনি তা সঠিকভাবে বলতে পারবেন /etc/sudoers।

এজেন্ট ফরওয়ার্ডিংয়ের জন্য আপনার SSH_AUTH_SOCKপরিবেশকে পরিবর্তনশীল রাখতে হবে । এটি করতে, কেবল আপনার /etc/sudoersকনফিগারেশন ফাইলটি (সর্বদা ব্যবহার করা visudo) সম্পাদনা করুন এবং env_keepউপযুক্ত ব্যবহারকারীদের জন্য বিকল্পটি সেট করুন । আপনি যদি চান যে এই বিকল্পটি সমস্ত ব্যবহারকারীর জন্য সেট করা থাকে তবে Defaultsলাইনটি এভাবে ব্যবহার করুন :

Defaults    env_keep+=SSH_AUTH_SOCK

man sudoers বিস্তারিত জানার জন্য.

আপনি এখন এই ভালো কিছু করতে সক্ষম হওয়া উচিত (প্রদত্ত user1'সর্বজনীন কী গুলি উপস্থিত ~/.ssh/authorized_keysমধ্যে user1@serverAএবং user2@serverBএবং serverAএর /etc/sudoersফাইল হিসাবে উপরে উল্লিখিত সেটআপ):

user1@mymachine> eval `ssh-agent`  # starts ssh-agent
user1@mymachine> ssh-add           # add user1's key to agent (requires pwd)
user1@mymachine> ssh -A serverA    # no pwd required + agent forwarding activated
user1@serverA> sudo su - user2     # sudo keeps agent forwarding active :-)
user2@serverA> ssh serverB         # goto user2@serverB w/o typing pwd again...
user2@serverB>                     # ...because forwarding still works

sudo -E -s

• -আমরা পরিবেশ রক্ষা করব
• -s কমান্ড চালায়, শেলের সাথে ডিফল্ট হয়

এটি আপনাকে আসল কীগুলি এখনও লোড সহ একটি রুট শেল দেবে।

অনুমতি দিন otheruser অ্যাক্সেস করতে $SSH_AUTH_SOCKফাইল এবং এটি সঠিক ACL এর দ্বারা ডিরেক্টরি আছে, উদাহরণস্বরূপ, তাদের স্যুইচ করার আগে। হোস্ট মেশিনে উদাহরণটি ধরে নেওয়া Defaults:user env_keep += SSH_AUTH_SOCKহয়েছে /etc/sudoers:

$ ssh -A user@host
user@host$ setfacl -m otheruser:x   $(dirname "$SSH_AUTH_SOCK")
user@host$ setfacl -m otheruser:rwx "$SSH_AUTH_SOCK"
user@host$ sudo su - otheruser
otheruser@host$ ssh server
otheruser@server$

আরও সুরক্ষিত এবং অ-মূল ব্যবহারকারীদের জন্যও কাজ করে ;-)

আমি খুঁজে পেয়েছি যে এটি কাজ করে।

sudo su -l -c "export SSH_AUTH_SOCK=$SSH_AUTH_SOCK; bash"

অন্যরা যেমন উল্লেখ করেছে, আপনি যে ব্যবহারকারীর স্যুইচ করছেন সেটি যদি $ এসএসএইচ_এইউথ_সক (যেটি মূলের পাশাপাশি কোনও ব্যবহারকারী) পড়ার অনুমতি না থাকে তবে এটি কাজ করবে না। আপনি around SSH_AUTH_SOCK এবং এটির ডিরেক্টরিতে অনুমতি রয়েছে সেই ডিরেক্টরিটি 777 সেট করে আপনি এটিকে পেতে পারেন।

chmod 777 -R `dirname $SSH_AUTH_SOCK`
sudo su otheruser -l -c "export SSH_AUTH_SOCK=$SSH_AUTH_SOCK; bash"

যদিও এটি বেশ ঝুঁকিপূর্ণ। আপনি মূলত আপনার এসএসএইচ এজেন্টকে (আপনি লগ আউট না করা পর্যন্ত) সিস্টেমের অনুমতিপ্রাপ্ত অন্য প্রতিটি ব্যবহারকারীকে দিচ্ছেন। আপনি গোষ্ঠীটি সেট করতে এবং অনুমতিগুলি 770 এ পরিবর্তন করতে সক্ষম হতে পারেন যা আরও সুরক্ষিত হতে পারে। তবে, আমি যখন গ্রুপটি পরিবর্তন করার চেষ্টা করেছি তখন আমি "অপারেশন অনুমোদিত নয়" পেয়েছি।

আপনি যদি অনুমোদিত হন sudo su - $USERতবে আপনার সম্ভবত ssh -AY $USER@localhostvalid USER এর হোম ডিরেক্টরিতে আপনার বৈধ পাবলিক কী সহ পরিবর্তে অনুমতি দেওয়ার পক্ষে একটি ভাল যুক্তি থাকতে পারে । তারপরে আপনার প্রমাণীকরণের ফরওয়ার্ডিং আপনার সাথে চালিত হবে।

আপনি sudo ব্যবহারের পরিবর্তে এজেন্ট ফরোয়ার্ডিং সহ সর্বদা লোকালহোস্টে এসএসএস করতে পারেন:

ssh -A otheruser@localhost

অসুবিধাটি হ'ল আপনাকে আবার লগ ইন করতে হবে, তবে আপনি যদি এটি কোনও স্ক্রিন / টিএমউक्स ট্যাবে ব্যবহার করেন তবে এটি কেবল একবারের প্রচেষ্টা, তবে আপনি যদি সার্ভার থেকে সংযোগ বিচ্ছিন্ন করেন তবে সকেটটি আবার অবশ্যই ভেঙে যাবে । সুতরাং আপনি যদি আপনার স্ক্রিন / টিএমএক্স সেশনটি সর্বদা খোলা রাখতে না পারেন তবে এটি আদর্শ নয় (তবে SSH_AUTH_SOCKআপনি শীতল হলে আপনি নিজের এনভিটি ভার ম্যানুয়ালি আপডেট করতে পারবেন)।

এছাড়াও লক্ষ করুন যে ssh ফরওয়ার্ডিং ব্যবহার করার সময়, রুট সর্বদা আপনার সকেট অ্যাক্সেস করতে পারে এবং আপনার ssh প্রমাণীকরণ ব্যবহার করতে পারে (যতক্ষণ না আপনি এসএস ফরোয়ার্ডিং দিয়ে লগ ইন করেছেন)। সুতরাং আপনি রুট বিশ্বাস করতে পারেন তা নিশ্চিত করুন।

ব্যবহার না sudo su - USER, বরং sudo -i -u USER। আমার জন্য কাজ কর!

অন্যান্য উত্তরগুলির সাথে তথ্যের সংমিশ্রণটি আমি এর সাথে এলাম:

user=app
setfacl -m $user:x $(dirname "$SSH_AUTH_SOCK")
setfacl -m $user:rwx "$SSH_AUTH_SOCK"
sudo SSH_AUTH_SOCK="$SSH_AUTH_SOCK" -u $user -i

আমি এটি পছন্দ করি কারণ আমার sudoersফাইল সম্পাদনা করার দরকার নেই ।

উবুন্টু 14.04 এ পরীক্ষিত ( aclপ্যাকেজ ইনস্টল করতে হয়েছিল )।

আমি মনে করি আপনার কমান্ডের -পরে (ড্যাশ) বিকল্পে কোনও সমস্যা আছে su:

sudo su - otheruser

আপনি যদি su এর ম্যান পৃষ্ঠাটি পড়েন , আপনি দেখতে পাবেন যে বিকল্পটি -, -l, --loginলগইন শেল হিসাবে শেল পরিবেশ শুরু করে starts otheruserআপনি যেখানে চালান সেই এনভির ভেরিয়েবল নির্বিশেষে এটি পরিবেশ করবে su।

সহজ কথায় বলতে গেলে ড্যাশগুলি আপনার কাছ থেকে পাস করা যেকোনো কিছুকে হ্রাস করবে sudo।

পরিবর্তে, আপনার এই আদেশটি চেষ্টা করা উচিত:

sudo -E su otheruser

@ জোয়াও-কস্তা হিসাবে উল্লেখ করা হয়েছে, -Eআপনি যে পরিবেশে গিয়েছিলেন সেখানে সমস্ত পরিবর্তনশীল সংরক্ষণ করবে sudo। তারপরে ড্যাশ ছাড়াই suসরাসরি সেই পরিবেশটি ব্যবহার করবে।

দুর্ভাগ্যক্রমে যখন আপনি অন্য ব্যবহারকারীর কাছে মামলা করেন (বা এমনকি সুডো ব্যবহার করেন) আপনি আপনার ফরোয়ার্ড করা কীগুলি ব্যবহার করার ক্ষমতা হারাবেন। এটি একটি সুরক্ষা বৈশিষ্ট্য: আপনি এলোমেলো ব্যবহারকারীদের আপনার এসএসএল-এজেন্টের সাথে সংযুক্ত হওয়া এবং আপনার কীগুলি ব্যবহার করতে চান না :)

"Ssh -Ay {{USER} @ লোকালহোস্ট" পদ্ধতিটি কিছুটা জটিল (এবং ডেভিডের উত্তর ভাঙ্গার প্রবণতায় আমার মন্তব্যে উল্লিখিত হিসাবে) তবে এটি সম্ভবত আপনি সবচেয়ে ভাল করতে পারেন।