élévation de privilèges via ssh

Le
Eric Belhomme
bonjour,

Soit un parc de stations de travail Linux (principalement des RHEL) sur
lesquels tournent un démon sshd configuré de manière à interdire le
login root via ssh.

Considérons un utilisateur donné, qui a le droit de se logguer via ssh
sur ces machines, et qui est membre du groupe sudoers pour toutes ces
machines

Cet utilisateur a besoin de lancer de manière récursive _et_ automatique
un script nécessitant les droits root sur toutes ces machines.

Le problème : sudo est par essence interactif, il faut donc à chaque
invocation de sudo renseigner le mot de passe de l'utilisateur !
J'ai bien essayé de jouer avec expect et le script rrr, mais sans grand
succès :-/
Qui connaitrait une solution simple et élégante à ce problème ma fois
plutôt basique ?

Merci pour vos suggestions,

--
Rico
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Bastien Durel
Le #7093461
On 25/06/2008 04:39, Eric Belhomme wrote:
bonjour,



[...]

Le problème : sudo est par essence interactif, il faut donc à chaque
invocation de sudo renseigner le mot de passe de l'utilisateur !
J'ai bien essayé de jouer avec expect et le script rrr, mais sans grand
succès :-/
Qui connaitrait une solution simple et élégante à ce problème ma fois
plutôt basique ?



Bonjour,

Mettre la commande en question, pour l'utilisateur en question en
NOPASSWD dans /etc/sudoers, par exemple

Bonne journée,

--
Bastien
Il faut dépenser le mépris avec une grande économie,
à cause du grand nombre de nécessiteux.
-+- François René de Chateaubriand -+-
Eric Belhomme
Le #7097041
Bastien Durel a écrit :


Mettre la commande en question, pour l'utilisateur en question en
NOPASSWD dans /etc/sudoers, par exemple



C'est une bonne idée, mais hélas inapplicable : je recherche une
solution qui ne nécessite pas de modifier la configuration système des
machines sur lesquelles doit tourner le script...

--
Rico
Fabien LE LEZ
Le #8314831
On Wed, 25 Jun 2008 04:39:51 +0200, Eric Belhomme

Cet utilisateur a besoin de lancer de manière récursive _et_ automatique
un script nécessitant les droits root sur toutes ces machines.



N'y a-t-il pas moyen de jouer avec le crontab de root ?

L'utilisateur qui veut lancer le script, crée un fichier
/home/moi/faut_se_reveiller

Cron, en tant que root, vérifie chaque minute la présence de ce
fichier ; s'il existe, il l'efface puis exécute le script.
Eric Belhomme
Le #8314821
Fabien LE LEZ a écrit :
On Wed, 25 Jun 2008 04:39:51 +0200, Eric Belhomme

Cet utilisateur a besoin de lancer de manière récursive _et_ automatique
un script nécessitant les droits root sur toutes ces machines.



N'y a-t-il pas moyen de jouer avec le crontab de root ?

L'utilisateur qui veut lancer le script, crée un fichier
/home/moi/faut_se_reveiller

Cron, en tant que root, vérifie chaque minute la présence de ce
fichier ; s'il existe, il l'efface puis exécute le script.



Ton idée est intéressante, mais elle nécessite un setup sur chaque
machine, et ne fonctionnera que pour un script donné. Je voudrais
trouver une solution plus générique, et qui fonctionne sans aucune
intervention préalable sur les systèmes cibles.

Ah et j'avais oublié : il faudrait un truc qui soit portable (j'ai des
postes sous Solaris...)

--
Rico
Fabien LE LEZ
Le #8306301
On Thu, 26 Jun 2008 04:56:35 +0200, Eric Belhomme

Ton idée est intéressante, mais elle nécessite un setup sur chaque
machine,



Je ne vois pas comment tu pourrais t'en passer, d'une manière ou d'une
autre.

et ne fonctionnera que pour un script donné.



Elle peut être étendue pour plusieurs scripts.

Par exemple, le contenu du fichier peut être une commande à exécuter.
(Oui, c'est dangereux, mais pas plus que l'idée d'un sudo
automatique.)
sir_highleaf
Le #11159361
Bonjour,

Je ne sais pas si j'ai bien compris ce que tu demandes,
mais je pense que ça pourrait t'intéresser :

http://pussh.sourceforge.net/
Publicité
Poster une réponse
Anonyme