Como os argumentos da linha de comando remoto ssh são analisados

Há sempre um shell remoto. No protocolo SSH, o cliente envia ao servidor uma string para executar. O cliente de linha de comando SSH pega seus argumentos de linha de comando e os concatena com um espaço entre os argumentos. O servidor pega essa string, executa o shell de login do usuário e passa essa string. (Mais precisamente: o servidor executa o programa que está registrado como o shell do usuário no banco de dados do usuário, passando dois argumentos de linha de comando: -ce a string enviada pelo cliente. O shell não é invocado como um shell de login: o servidor não defina o argumento zero para uma string começando com -.)

É impossível ignorar o shell remoto. O protocolo não tem nada como enviar um array de strings que pode ser analisado como um array argv no servidor. E o servidor SSH não ignorará o shell remoto porque isso pode ser uma restrição de segurança: usar um programa restrito como shell do usuário é uma forma de fornecer uma conta restrita que só tem permissão para executar determinados comandos (por exemplo, uma conta somente rsync ou uma conta somente git).

Você pode não ver o shell pstreeporque ele pode já ter desaparecido. Muitos shells têm uma otimização em que, se detectarem que estão prestes a “executar este comando externo, aguardar a conclusão e sair com o status do comando”, o shell executará “ execvedeste comando externo”. Isso é o que está acontecendo no seu primeiro exemplo. Compare os três comandos a seguir:

ssh otherhost pstree -a -p
ssh otherhost 'pstree -a -p'
ssh otherhost 'pstree -a -p; true'

Os dois primeiros são idênticos: o cliente envia exatamente os mesmos dados para o servidor. O terceiro envia um comando shell que anula a otimização de execução do shell.

Acho que entendi:

$ ssh otherhost pstree -a -p -s '$$'
init,1         
  `-sshd,3736
      `-sshd,11998
          `-sshd,12000
              `-pstree,12001 -a -p -s 12001

Os argumentos para pstreesão: mostrar argumentos de linha de comando, mostrar pids e mostrar apenas os processos pais do pid fornecido. O '$$'é uma variável especial do shell que o bash substituirá por seu próprio pid quando o bash avaliar os argumentos da linha de comando. É citado uma vez para impedir que seja interpretado pelo meu shell local. Mas não é citado duplamente ou escapado para permitir que seja interpretado pelo shell remoto.

Como podemos ver, ele é substituído por 12001, então esse é o pid do shell. Também podemos ver na saída: pstree,12001que o processo com um pid de 12001 é o próprio pstree. A pstreecasca é assim?

O que eu entendo que está acontecendo é que bashestá sendo invocado e está analisando os argumentos da linha de comando, mas então invoca execpara se substituir pelo comando que está sendo executado.

Parece que só faz isso no caso de um único comando remoto:

$ ssh otherhost pstree -a -p -s '$$' \; echo hi
init,1         
  `-sshd,3736
      `-sshd,17687
          `-sshd,17690
              `-bash,17691 -c pstree -a -p -s $$ ; echo hi
                  `-pstree,17692 -a -p -s 17691
hi

Nesse caso, estou solicitando a execução de dois comandos: pstreeseguido por echo. E podemos ver aqui que bashde fato aparece na árvore do processo como pai de pstree.

Apoiando o que as outras respostas disseram, pesquisei o código que invoca comandos no controle remoto, https://github.com/openssh/openssh-portable/blob/4f29309c4cb19bcb1774931db84cacc414f17d29/session.c#L1660.. .

1660    /*
1661     * Execute the command using the user's shell.  This uses the -c
1662     * option to execute the command.
1663     */
1664    argv[0] = (char *) shell0;
1665    argv[1] = "-c";
1666    argv[2] = (char *) command;
1667    argv[3] = NULL;
1668    execve(shell, argv, env);
1669    perror(shell);
1670    exit(1);

... que, como você pode ver, invoca incondicionalmente shellcom primeiro argumento -ce segundo argumento command. Anteriormente, a shellvariável era definida para o shell de login do usuário conforme registrado em /etc/passwd. commandé um argumento para esta função e, finalmente, é definido como uma string lida literalmente na rede (consulte session_exec_reqno mesmo arquivo ). Portanto, o servidor não interpreta o comando, mas um shell é sempre invocado no controle remoto.

No entanto, a parte relevante da especificação do protocolo SSH não parece exigir esse comportamento ; só diz

 byte      SSH_MSG_CHANNEL_REQUEST
 uint32    recipient channel
 string    "exec"
 boolean   want reply
 string    command

Esta mensagem solicitará que o servidor inicie a execução do comando fornecido. A string 'comando' pode conter um caminho. Precauções normais DEVEM ser tomadas para evitar a execução de comandos não autorizados.

Isso provavelmente ocorre porque nem todos os sistemas operacionais têm o conceito de um shell de linha de comando. Por exemplo, não teria sido uma loucura para um servidor ssh Classic MacOS alimentar strings de comando "exec" para o intérprete AppleScript .