ssh 而不使用用户的默认 shell

Question

有人投票结束此问题，因为“不清楚你在问什么”。显然彻底不是一件好事，所以我会简洁：

当您通过 SSH 连接到远程主机时：是否可以直接执行程序，而不是在用户的默认 shell 下执行。

• 网络是气隙的
• 网络上的每个人都可以通过 shell 访问每台机器
• IT 部门可以进行任何需要的更改，前提是这些更改不会增加某人获得 root shell 的风险（超出了已经可能实现的范围）。
• 证明类似的事情是可能的：sftpssh“子系统”能够在不运行用户的默认 shell 的情况下执行，而scp子系统仍然使用它。
  • 我尝试实现一个子系统，但它仍然在用户的默认 shell 下执行。

我认为这个问题没有一个好的解决方案（除了说服大量非*nix人放弃他们多年来一直依靠的拐杖），但我想我应该把这个问题提出来希望我弄错了。

---

下面是不太简洁的问题。

在我的办公室里有很多人（3-500+）都在使用各种奇怪的配置。很难预测我们编写的软件对于给定用户的行为方式，因为他们的环境可能完全违反我们的期望。

为了解决这个问题，我更改了我们的构建以剥离用户的环境，这样它就不会影响构建，并且基于该策略的成功，我们进一步将软件的执行包装在执行相同操作的 shell 脚本中。

不幸的是，启动器仍然会受到用户环境的影响。当远程执行时，用户的.cshrc/.login通常会有一堆垃圾，导致启动器甚至开始执行之前的长时间延迟。

通常我会倾向于说“修复你的废话”，但我们不是在谈论 *nix 精明的人; 这是他们多年来依赖的拐杖，他们更倾向于继续将配置问题归咎于我们的软件。

简而言之，我正在寻找一种方法来完全缩短他们愚蠢的环境脚本。

为了模拟这种情况，我将默认 shell 设置为 tcsh 并放入hostname; sleep 10my .cshrc，然后运行一些测试：

• sftp 不打印/睡眠——不过，这种情况下的目标机器是solaris，其中sftp 内置于sshd 中，并且我不认为要针对linux 机器进行测试。针对服务 sftp 连接的进程树运行ptree显示它没有在 shell 下运行。
• scp 打印文本并休眠 10 秒
• 通过 ssh 在远程主机上执行命令的每种变体都会导致命令在用户的默认 shell 下运行；我试过：
  • 显而易见的——通过 ssh 传递命令
  • command=在.ssh/authorized_keys
  • 我在我的个人 Linux 中制作了一个定制的“子系统”/etc/ssh/sshd_config
• 在我的机器上启用PermitUserEnvironment尝试设置SHELL
  • 根本没用：SHELL=/bin/bash ssh -o "SendEnv SHELL" localhost
  • 有点工作：使用environment=或~/.ssh/enviornment设置 SHELL
    • 它在设置 SHELL 时起作用，但它实际上在我真正的默认 shell 下执行

我设法netcat在现有的 ssh 会话上转发 shell，但这看起来就像用雪橇打破鸡蛋——既混乱又非常不合适。

---

我们组织中的一个人建议创建另一个用户，通过任何方式，每个人都可以通过 ssh 以该用户身份登录，然后 ::cloudy bubble 解决方案，需要大量挥手:: 让程序以原始用户身份运行。

我对做这样的事情有点怀疑。它可能不像用 netcat 转发 shell 那样糟糕，或者像临时重命名它们那样粗暴和脆弱.cshrc，但我仍然不喜欢它。

欢迎任何建议。

Answer 1

使用子系统应该可以实现您想要的功能，但我相当确定它需要编写自定义 sshd 二进制文件，因为 OpenSSH 代码仅提供 sftp 子系统，并且仅为其他定义设置可扩展框架。