我想通过 ssh 连接到远程服务器,更改用户然后执行脚本。我正在使用
subprocess
来执行此操作,但看起来 sudo -u userB -i
并未更改用户。
HOST = 'remote_server'
USER = 'userA'
CMD = ' whoami; sudo -u userB -i; whoami'
ssh = subprocess.Popen(['ssh', '{}@{}'.format(USER, HOST),CMD],
shell=False,
stdout=subprocess.PIPE,
stderr=subprocess.PIPE)
result = ssh.stdout.readlines()
if not result:
err = ssh.stderr.readlines()
print('ERROR: {}'.format(err))
else:
print "success"
print(result)
$ success
$ ['userA\n', 'userA\n']
当我替换为
CMD ='sudo -u userB -i && whoami'
时,我得到了这个错误:
错误:['sudo:抱歉,您必须有一个 tty 才能运行 sudo ']
在终端上,我可以进行无密码 ssh,
sudo -u userB -i && whoami
sudo
配置为需要终端仿真。这样做通常是为了实际上防止您尝试实施的那种自动化。在尝试绕过该限制之前,请先咨询您的服务器管理员。要么不需要限制,那么管理员可以为您关闭它。或者限制是有原因的,管理员不会高兴你试图绕过它。
可以通过从
requiretty
文件中删除
sudoers
选项来关闭限制(该选项默认关闭)。
要使
ssh
使用终端仿真来执行其命令行上提供的命令,您需要使用 -t
开关。但为了让 -t
真正产生任何效果,您需要首先从终端运行 ssh
。由于 subprocess.Popen
不是终端,您将得到:
伪终端不会被分配,因为 stdin 不是终端
要绕过它,您必须使用双
-t
开关:-tt
。
在远程服务器上的
/etc/sudoers
中插入此行将解决该问题:
Defaults !requiretty
我会用一个小C程序来解决这个问题,并给它suid权限,即
#include <stdlib.h>
#include <sys/types.h>
#include <unistd.h>
// #include <stdio.h>
#include <string.h>
int main(int argc,char *argv[]){
setuid(0);//su
char *cmd="/usr/sbin/hddtemp";
char *arg[]={(char *)"hddtemp",(char *)"--numeric"};
#define array_size(x) (sizeof(x)/sizeof(*x))
int size=array_size(arg);
size_t i,n=size+argc;
char **args=malloc((n)*sizeof(char*));
if(args==NULL)return 255;
for(i=0;i<size;i++){
args[i]=malloc(strlen(arg[i])+1);
if(args[i]==NULL)return 255;
strcpy(args[i],arg[i]);
}
for(i=0;i<argc-1;i++){
args[size+i]=malloc(strlen(argv[i+1])+1);
if(args[size+i]==NULL)return 255;
strcpy(args[size+i],argv[i+1]);
}
// printf ("total args %2zu\n",i);
// for(i=0;i<n;i++)printf ("args[%2zu] : %s\n",i,args[i]);
execv(cmd,args);
return 1;
}
首先,编译:
gcc -Wall program.c -o program
然后,chown 和 chmod
chown 0:userB program
chmod 4750 program
而且,如果您不需要将硬编码参数与传递的参数混合在一起,您可以使用以下内容:
#include <unistd.h>
int main(int argc,char *argv[]){
setuid(1000); //user id of userB
char *cmd="/usr/bin/whoami";
execv(cmd,argv);
return 1; // indicate error if execv() didn't succeed.
}
一般来说,每个管理员都会建议您不要向 /etc/suders 添加例外情况,这是有充分理由的。