Sur un de nos serveurs un compte utilisateur (james) spécifique peut lancer des commandes liées à une application.
Il n'y à que lui qui peut lancer cette commande puisqu'il à tout de correctement positionné dans ses variables d'environnements.
Pour une tache précise d'exploitation, j'ai besoin de créer un compte utilisateur qui pourra se connecter en ssh sur ce serveur
et qui pourrait exécuter une commande lié à l'utilsateur james.
Je ne veut pas que les exploitants se connecte avec le compte james.
Est-ce qu'il est possible avec sudo de lancer une commande que seul james peut éxécuter par l'utilisateur exploitant ?
Je n'arrive pas à m'en sortir avec sudo.
--
Cerdocyon
key ID 0x773B483BAC099326
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100901081148.GA16301@the-rabbit-hole.co.uk
--
X-rated movies are all alike ... the only thing they leave to the
imagination is the plot.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100901133755.52bcd24b@anubis.defcon1
-- X-rated movies are all alike ... the only thing they leave to the imagination is the plot.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Patrice Pillot
Salut,
Le 01/09/2010 13:37, Jean-Yves F. Barbier a écrit :
On Wed, 01 Sep 2010 13:07:19 +0200, Patrice Pillot wrote:
Côté client (donc sur chaque client :-/), créer une clef ssh avec une passphrase vide et un nom spécial (pas id_rsa, plutôt genre james_cmd).
Côté serveur installer la partie publique de cette clef dans ~james/.ssh/authorized_keys en rajoutant en début de ligne une option "command" : command="/usr/local/bin/super-commande.sh" ssh-rsa.....
N'est-ce pas qq chose qui pourrait simplement se résoudre (si tant est que la Cde soit systématiquement lancée à chaque connexion!) avec ~/.ssh/rc en lui donnant des droits à 106750 ?
Euh ! dans ce cas ce sera lancé à chaque invocation de ssh :-(
Et puis ~/.ssh/rc est exécuté _avant_ que le shell soit lancé ou la commande exécutée. C'est en règle générale utilisé pour modifier l'environnement (au sens large) du process, pas pour filtrer celui-ci comme dans l'exemple que je donnais, même si ça doit être possible ; mais je ne sais pas si $SSH_ORIGINAL_COMMAND est déjà déclarée quand ~/.ssh/rc est invoqué.
Cordialement,
phep
-- | R : Tu vois ! | | Q : Tu crois ? | | | R : Ça casse l'ordre chronologique de l'échange. | | | | Q : En quoi répondre au dessus est-il gênant ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Salut,
Le 01/09/2010 13:37, Jean-Yves F. Barbier a écrit :
Côté client (donc sur chaque client :-/), créer une clef ssh avec une
passphrase vide et un nom spécial (pas id_rsa, plutôt genre james_cmd).
Côté serveur installer la partie publique de cette clef dans
~james/.ssh/authorized_keys en rajoutant en début de ligne une option
"command" :
command="/usr/local/bin/super-commande.sh" ssh-rsa.....
N'est-ce pas qq chose qui pourrait simplement se résoudre (si tant est
que la Cde soit systématiquement lancée à chaque connexion!)
avec ~/.ssh/rc en lui donnant des droits à 106750 ?
Euh ! dans ce cas ce sera lancé à chaque invocation de ssh :-(
Et puis ~/.ssh/rc est exécuté _avant_ que le shell soit lancé ou la commande
exécutée. C'est en règle générale utilisé pour modifier l'environnement (au
sens large) du process, pas pour filtrer celui-ci comme dans l'exemple que
je donnais, même si ça doit être possible ; mais je ne sais pas si
$SSH_ORIGINAL_COMMAND est déjà déclarée quand ~/.ssh/rc est invoqué.
Cordialement,
phep
--
| R : Tu vois !
| | Q : Tu crois ?
| | | R : Ça casse l'ordre chronologique de l'échange.
| | | | Q : En quoi répondre au dessus est-il gênant ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4C7E438B.5030600@toulouse.archi.fr
Le 01/09/2010 13:37, Jean-Yves F. Barbier a écrit :
On Wed, 01 Sep 2010 13:07:19 +0200, Patrice Pillot wrote:
Côté client (donc sur chaque client :-/), créer une clef ssh avec une passphrase vide et un nom spécial (pas id_rsa, plutôt genre james_cmd).
Côté serveur installer la partie publique de cette clef dans ~james/.ssh/authorized_keys en rajoutant en début de ligne une option "command" : command="/usr/local/bin/super-commande.sh" ssh-rsa.....
N'est-ce pas qq chose qui pourrait simplement se résoudre (si tant est que la Cde soit systématiquement lancée à chaque connexion!) avec ~/.ssh/rc en lui donnant des droits à 106750 ?
Euh ! dans ce cas ce sera lancé à chaque invocation de ssh :-(
Et puis ~/.ssh/rc est exécuté _avant_ que le shell soit lancé ou la commande exécutée. C'est en règle générale utilisé pour modifier l'environnement (au sens large) du process, pas pour filtrer celui-ci comme dans l'exemple que je donnais, même si ça doit être possible ; mais je ne sais pas si $SSH_ORIGINAL_COMMAND est déjà déclarée quand ~/.ssh/rc est invoqué.
Cordialement,
phep
-- | R : Tu vois ! | | Q : Tu crois ? | | | R : Ça casse l'ordre chronologique de l'échange. | | | | Q : En quoi répondre au dessus est-il gênant ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
