subprocess.Popen“ssh sudo -u user -i”失败并显示“sudo:抱歉,您必须有一个 tty 才能运行 sudo”

问题描述 投票:0回答:3

我想通过 ssh 连接到远程服务器,更改用户然后执行脚本。我正在使用 

subprocess
来执行此操作,但看起来 
sudo -u userB -i
并未更改用户。

HOST = 'remote_server'
USER = 'userA'
CMD = ' whoami; sudo -u userB -i; whoami'

ssh = subprocess.Popen(['ssh', '{}@{}'.format(USER, HOST),CMD],
                            shell=False,
                            stdout=subprocess.PIPE,
                            stderr=subprocess.PIPE)
result = ssh.stdout.readlines()   
if not result:
    err = ssh.stderr.readlines()
    print('ERROR: {}'.format(err))
else:
    print "success"
    print(result) 

$ success
$ ['userA\n', 'userA\n']

当我替换为

CMD ='sudo -u userB -i && whoami'
时,我得到了这个错误:

错误:['sudo:抱歉,您必须有一个 tty 才能运行 sudo ']

在终端上,我可以进行无密码 ssh,

sudo -u userB -i && whoami

python ssh sudo tty
3个回答
5
投票
目标系统上的

sudo
配置为需要终端仿真。这样做通常是为了实际上防止您尝试实施的那种自动化。在尝试绕过该限制之前,请先咨询您的服务器管理员。要么不需要限制,那么管理员可以为您关闭它。或者限制是有原因的,管理员不会高兴你试图绕过它。

可以通过从 

requiretty 文件
中删除 
sudoers 选项来关闭限制(该选项默认关闭)。




要使 
ssh
 使用终端仿真来执行其命令行上提供的命令,您需要使用 
-t
 开关。但为了让 
-t
 真正产生任何效果,您需要首先从终端运行 
ssh
 。由于 
subprocess.Popen
 不是终端,您将得到:




伪终端不会被分配,因为 stdin 不是终端




要绕过它,您必须使用双
-t
开关:
-tt

    

      

      
      
      

      

        

          

            

              
0
投票

              
            

          

        

        


在远程服务器上的
/etc/sudoers
中插入此行将解决该问题:



Defaults    !requiretty


    

      

      
      
      

      

        

          

            

              
0
投票

              
            

          

        

        


我会用一个小C程序来解决这个问题,并给它suid权限,即



#include <stdlib.h>
#include <sys/types.h>
#include <unistd.h>
// #include <stdio.h>
#include <string.h>
int main(int argc,char *argv[]){
    setuid(0);//su
    char *cmd="/usr/sbin/hddtemp";
    char *arg[]={(char *)"hddtemp",(char *)"--numeric"};
    #define array_size(x) (sizeof(x)/sizeof(*x))
    int size=array_size(arg);
    size_t i,n=size+argc;
    char **args=malloc((n)*sizeof(char*));
    if(args==NULL)return 255;
    for(i=0;i<size;i++){
        args[i]=malloc(strlen(arg[i])+1);
        if(args[i]==NULL)return 255;
        strcpy(args[i],arg[i]);
    }
    for(i=0;i<argc-1;i++){
        args[size+i]=malloc(strlen(argv[i+1])+1);
        if(args[size+i]==NULL)return 255;
        strcpy(args[size+i],argv[i+1]);
    }
    // printf ("total args %2zu\n",i);
    // for(i=0;i<n;i++)printf ("args[%2zu] : %s\n",i,args[i]);
    execv(cmd,args);
    return 1;
}




首先,编译:



gcc -Wall program.c -o program




然后,chown 和 chmod 



chown 0:userB program
chmod 4750 program




而且,如果您不需要将硬编码参数与传递的参数混合在一起,您可以使用以下内容:



#include <unistd.h>
int main(int argc,char *argv[]){
    setuid(1000); //user id of userB
    char *cmd="/usr/bin/whoami";
    execv(cmd,argv);
    return 1; // indicate error if execv() didn't succeed.
}




一般来说,每个管理员都会建议您不要向 /etc/suders 添加例外情况,这是有充分理由的。

    

      

      
    

  

  

    
最新问题


  





  

    © www.soinside.com 2019 - 2024. All rights reserved.