那些遇到过的问题

SSHauthorized_keys 命令选项:多个命令?

dka*_*eae 22 ssh command

authorized_keys 有一个 command="..." 选项,将密钥限制为单个命令。有没有办法将一个键限制为多个命令?例如,通过在那里使用正则表达式,还是通过编辑其他配置文件?

hfs*_*hfs 37

每个键只能有一个命令,因为该命令是“强制”的。

但是您可以使用包装脚本。被调用的命令获取原始命令行作为环境变量$SSH_ORIGINAL_COMMAND,它可以评估。

例如把这个放在~/.ssh/allowed-commands.sh

#!/bin/sh
#
# You can have only one forced command in ~/.ssh/authorized_keys. Use this
# wrapper to allow several commands.

case "$SSH_ORIGINAL_COMMAND" in
    "systemctl restart cups")
        systemctl restart cups
        ;;
    "shutdown -r now")
        shutdown -r now
        ;;
    *)
        echo "Access denied"
        exit 1
        ;;
esac
Run Code Online (Sandbox Code Playgroud)

然后引用它~/.ssh/authorized_keys

command="/home/user/.ssh/allowed-commands.sh",…
Run Code Online (Sandbox Code Playgroud)

  • 有用。可能值得更清楚的是,是 sshd 本身添加了`SSH_ORIGINAL_COMMAND`(每个`man sshd`),以便它在脚本中可用。还给出了一个允许运行某些“SSH_ORIGINAL_COMMAND”模式的自动化脚本的例子。另见 https://unixwars.blogspot.com/2014/12/getting-sshoriginalcommand.html (5认同)

gf_*_*gf_ 12

在伟大的SSH 中, O'Reilly 所著的The Secure Shell:The Definitive Guide一书,在第八章中,有一个很好的例子,使用如下脚本:

#!/bin/sh

/bin/echo "Welcome!
Your choices are:
1       See today's date
2       See who's logged in
3       See current processes
q       Quit"

/bin/echo "Your choice:"

read ans

while [ "$ans" != "q" ]
do
   case "$ans" in
      1)
         /bin/date
         ;;
      2)
         /usr/bin/who
         ;;
      3)
         /usr/bin/top
         ;;
      q)
         /bin/echo "Goodbye"
         exit 0
         ;;
      *)
         /bin/echo "Invalid choice '$ans': please try again"
         ;;
   esac
   /bin/echo "Your choice:"
   read ans
done
exit 0
Run Code Online (Sandbox Code Playgroud)

在您的.authorized_keys文件中使用它,例如:

command="/path/to/your/script.sh" <ssh-key>
Run Code Online (Sandbox Code Playgroud)

...在做的时候给你这个ssh

Welcome!
Your choices are:
1       See today's date
2       See who's logged in
3       See current processes
q       Quit
Your choice:
Run Code Online (Sandbox Code Playgroud)

  • @Jakuje 这通常对`command` 选项无效吗? (6认同)

Jak*_*uje 9

不。它不是“允许”命令,而是“强制”命令(作为ForceCommand选项)。

唯一的可能性是对不同的命令使用不同的键或从stdin.

归档时间:

查看次数:

34338 次

最近记录:

5 年,8 月 前
相关归档
服务器升级期间 SSH 连接丢失 - 如何重新连接到进程? 43
如何中断卡住的 ssh 连接 31
无法通过 SSH 连接到远程 Postgresql 数据库 9
Amazon EC2 实例 SSH RSA 指纹 7
以 sudo 身份通过 SSH 运行多个命令 3
使用端口转发到另一台机器访问远程 PostgreSQL 服务器 3
SSH 网关上有所有配置吗? 3
AWS VPC ELB 与自定义负载平衡 1
从监狱内关闭主机 1
SSH 的 DNS 记录 (docker) 0
难疑归档
如何在系统启动时自动启动 docker 容器? 120
是否可以让 Nginx 监听不同的端口? 115
从 apt 包安装的文件列表 91
如何列出所有连接的 Salt Stack Minion? 81
SAN、NAS 和 DAS 之间有什么区别? 74
Centos 7 保存iptables设置 73
我可以在 OS X 上的 /etc/hosts 的条目中指定端口吗? 65
Denyhosts vs fail2ban vs iptables-防止暴力登录的最佳方法? 65
什么是 ipv6 相当于 0.0.0.0/0 54
Windows 管理员离不开的工具 53