Verwenden von su in einem Shell-Skript

Ich automatisiere einen Bereitstellungsprozess und möchte nur eine .sh-Datei auf meinem Computer aufrufen, meinen Build ausführen und die .zip-Datei auf den Server hochladen und dann einige Dinge auf dem Server erledigen können. Eines der Dinge, die ich tun muss, erfordert, dass ich root bin. Also, was ich tun möchte, ist Folgendes:

ssh user@172.1.1.101 <<END_SCRIPT
su - 
#password... somehow...
#stop jboss
service server_instance stop
#a bunch of stuff here
#all done!
exit
END_SCRIPT

Ist das überhaupt möglich?

Haben Sie stattdessen ein Sudo ohne Passwort in Betracht gezogen?

Verwenden Sie statt su sudo mit dem in sudoers festgelegten NOPASSWD für die entsprechenden Befehle. Sie sollten den zulässigen Befehlssatz so gering wie möglich halten. Das Ausführen eines Skripts für die root-Befehle ist möglicherweise die sauberste und mit Abstand einfachste Methode, um die Sicherheit zu gewährleisten, wenn Sie mit der Syntax von sudoer-Dateien nicht vertraut sind. Bei Befehlen / Skripten, für die die vollständige Umgebung geladen werden muss, sudo su - -c commandfunktioniert dies, obwohl dies möglicherweise zu viel bedeutet.

Was Sie beschreiben, ist möglicherweise mit expect möglich .

Sie können einen Befehl als Argument an SSH übergeben, um diesen Befehl nur auf dem Server auszuführen, und dann Folgendes beenden:

ssh user@host "command to run"

Dies funktioniert auch für eine Liste mit mehreren Befehlen:

ssh user@host "command1; command2; command3"

Oder alternativ:

ssh user@host "
        command1
        command2
        command3
"

Wie bereits von anderen Benutzern erwähnt, wird beim Ausführen suauf dem Server eine neue Shell gestartet, anstatt nachfolgende Befehle im Skript als root auszuführen. Sie müssen entweder sudooder verwenden su -cund die TTY-Zuweisung zu SSH mit dem -tSwitch erzwingen (erforderlich, wenn Sie das root-Passwort eingeben müssen):

ssh -t user@host 'su - -c "command"'
ssh -t user@host 'sudo command'

Alles in allem wäre eine Möglichkeit, das zu erreichen, was Sie tun möchten:

#!/bin/bash
ssh -t user@172.1.1.101 "
        sudo some_command
        sudo service server_instance stop
        sudo some_other_command
"

Da Sie sich in der sudoRegel einige Minuten lang an die Berechtigungsstufe erinnern, bevor Sie erneut nach dem Root-Kennwort gefragt werden sudo, ist es wahrscheinlich die einfachste Methode, Befehle als Root auf dem Server auszuführen, wenn Sie alle Befehle voranstellen , die Sie als Root ausführen müssen. Hinzufügen einer NOPASSWDRegel für Ihren Benutzer in/etc/sudoers würde den Prozess noch reibungsloser gestalten.

Ich hoffe das hilft :-)

Nein. Auch wenn Sie das Passwort dafür haben su, müssen Sie sich mit der Tatsache befassen, dass sueine neue Shell geöffnet wird, was bedeutet, dass Ihre weiteren Befehle nicht an diese Shell weitergeleitet werden. Sie müssen ein Skript für die Root-Operationen zusammen mit einer ausführbaren Hilfsprogrammdatei schreiben, die es mit den entsprechenden Berechtigungen aufrufen kann.

Schreiben Sie ein Expect-Skript. Ich weiß, dass Sie bereits eine Antwort darauf gefunden haben, aber dies kann hilfreich sein, wenn Sie sich bei einer Reihe von Servern anmelden müssen, für die eine interaktive Kennworteingabe erforderlich ist.

Es ist eine Sprache, die auf TCL basiert, daher ist es im Vergleich zu einfachen alten Shell-Skripten vielleicht etwas seltsam. Es übernimmt jedoch die Automatisierung der Texteingabe und "erwartet", wie Sie vermutet haben, bestimmte Ausgabefelder, bevor eine Art automatisierte Kennworteingabe oder eine Eskalation von Berechtigungen vorgenommen wird.

Hier ist ein guter Link als Leitfaden: http://bash.cyberciti.biz/security/expect-ssh-login-script/

Nur für den Fall, dass die Website ausfällt:

#!/usr/bin/expect -f
# Expect script to supply root/admin password for remote ssh server
# and execute command.
# This script needs three argument to(s) connect to remote server:
# password = Password of remote UNIX server, for root user.
# ipaddr = IP Addreess of remote UNIX server, no hostname
# scriptname = Path to remote script which will execute on remote server
# For example:
#  ./sshlogin.exp password 192.168.1.11 who
# ------------------------------------------------------------------------
# Copyright (c) 2004 nixCraft project <http://cyberciti.biz/fb/>
# This script is licensed under GNU GPL version 2.0 or above
# -------------------------------------------------------------------------
# This script is part of nixCraft shell script collection (NSSC)
# Visit http://bash.cyberciti.biz/ for more information.
# ----------------------------------------------------------------------
# set Variables
set password [lrange $argv 0 0]
set ipaddr [lrange $argv 1 1]
set scriptname [lrange $argv 2 2]
set arg1 [lrange $argv 3 3]
set timeout -1
# now connect to remote UNIX box (ipaddr) with given script to execute
spawn ssh root@$ipaddr $scriptname $arg1
match_max 100000
# Look for passwod prompt
expect "*?assword:*"
# Send password aka $password
send -- "$password\r"
# send blank line (\r) to make sure we get back to gui
send -- "\r"
expect eof

Ich weiß, dass dies etwas spät ist, aber ich würde persönlich Net :: SSH :: Expect verwenden, das bei CPAN erhältlich ist.

http://search.cpan.org/~bnegrao/Net-SSH-Expect-1.09/lib/Net/SSH/Expect.pod

Sie können 'ssh example.com su -lc "$ cmd"' verwenden.

Wenn der Befehl Optionen enthält, müssen Sie ihn in Anführungszeichen setzen, andernfalls frisst "su" sie möglicherweise ("su: ungültige Option - 'A').

ssh -AX -tt example.com 'su -lc "tmux new-session -A"'