notsoslimshady's questions

Como posso executar/ajustar este comando e ao usar ForceCommand para dar a este usuário seu shell?

Comando do cliente

(cat ./sudoPassword ./someCommandInput) | ssh user@ip "sudo -Sp '' someCommand"

Servidor sshd_config

ForceCommand /bin/bash

A restrição nos bastidores é que ForceCommand precisa ser o mecanismo que dá a este usuário um shell, além do comando acima um típico ssh user@ipprecisa funcionar também.

Já tentei várias configurações como

ForceCommand /bin/bash -ic $SSH_ORIGINAL_COMMAND ls
ForceCommand /bin/bash -s < $SSH_ORIGINAL_COMMAND
ForceCommand /bin/bash -c $SSH_ORIGINAL_COMMAND

Eu também tentei mexer com o comando client, dando opções ssh como -tt mas não consigo encontrar a configuração correta.

Estou trabalhando em um script para o usuário Bob com as partes relevantes mostradas abaixo. O problema que estou tendo é se eu colocar este cronjob no usuário Bob, o zenity funcionará, mas o desligamento não. E se eu colocá-lo no desligamento do root funcionará, mas o zenity não será visível no console.

#!/bin/bash
eval "export $(egrep -z DBUS_SESSION_BUS_ADDRESS /proc/$(pgrep -u Bob gnome-session)/environ)";
someValue=`DISPLAY=:0.0 zenity --text="tell me your value" --entry`
...
...
/sbin/shutdown -h "now"

Eu também tentei rodar sob root e usar su para Bob para zenity e sair de volta para root para desligar, mas isso não funcionou.

Existe uma maneira de fazer isso?

Outras informações

OS é Linux Mint e Bob é o único usuário da máquina

Eu tenho um servidor SSH onde o login root está desabilitado. Espero executar um comando privilegiado que desejará a entrada de um arquivo que tenho depois de ser executado. Espero fazer tudo sem interação do usuário por meio de um comando oneliner ou um script

Há configuração de autenticação de chave, portanto, a senha abaixo é solicitada apenas para executar o comando.

O mais próximo que cheguei é isso echo "mypass" |ssh -tt user@ip "sudo specialCommand"

A saída será semelhante

mypass  
[sudo] password for user: 
specialCommand requests inputfile contents

mypass é impresso antes e também aceito para o prompt de senha

Eu tenho o arquivo commandInputque estou tentando canalizar depois que a senha é aceita

Eu falhei com várias tentativas que eram apenas um jogo de adivinhação, como posso conseguir isso?

Há um arquivo gerado automaticamente em um local remoto que está mudando constantemente, só posso ver o arquivo remoto por meio ssh user@ip cat luckyNumbersdele me informar os números da sorte de hoje e também transmitir uma mensagem secreta criptografada.

Today's lucky number are 
1 2 3 
asdsa@!#SAxAaas 21gv3sad ASD@!#

Meu objetivo é

• redirecione os números da sorte 1 2 3para luckynumbers.txt e depois
• Encaminhar o restante do arquivo para o meu programadecoder
• Eu gostaria de fazer isso sem salvar o arquivo inteiro ou fazer uma segunda solicitação para o arquivo

Não tenho certeza se é possível dividir um fluxo de dados como este.

Estou trabalhando em um servidor ssh onde a única coisa que quero que o usuário faça é

ssh user@ip cat somefile

Parte do meu plano de mitigação de ameaças era dar ao usuário bash restrito

Já vi exemplos com chsh rbashmas no meu servidor o rbash não foi encontrado. Então eu fiz um script "rbash"

    #!/bin/bash
    bash -r

bash -r é uma opção para iniciar o shell restrito, então coloquei este script em /bin. e correuchsh user -s /bin/rbash

Agora eu posso ssh user@ipentrar no servidor e me encontrar em um shell restrito, mas quando tento ssh user@ip cat somefileo processo ssh fica preso emdebug1: sending command: cat somefile

Estou indo sobre isso da maneira certa? Quando eu ssh para fazer login cat somefile, como faço para que o comando funcione remotamente e mantenho o shell restrito?

Outras informações possivelmente relevantes

• Os Fedora 29
• chave pública do método de autenticação ssh

Espero que alguém possa oferecer algumas dicas sobre esse problema, encontrei uma solução para executar um script antes de um login ssh. Isso foi feito colocando a seguinte linha em /etc/pam.d/sshd e permitindo a autenticação pam em /etc/ssh/sshd_config

session    required pam_exec.so /home/pc/myScript.sh

E funcionou muito bem, o problema que notei foi que depois de sair da sessão SSH, o script seria executado novamente. Esse comportamento específico quebra completamente o propósito do meu script, existe alguma maneira de corrigir isso? Eu suponho que eu poderia escrever/ler de um arquivo sobre se é hora de executar, mas estou querendo saber se existe uma maneira melhor.

informação adicional

• SO é Fedora Server ARM 29
• Eu determinei que o script foi executado duas vezes executando wallno script de shell
• Aqui está o meu /etc/pam.d/shhd

.

#%PAM-1.0
auth       substack     password-auth
auth       include      postlogin
account    required     pam_sepermit.so
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so

### My script
session    required pam_exec.so /home/pc/aScriptThatShouldOnlyRunOncePriorToLogin.sh
###
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    optional     pam_motd.so
session    include      password-auth
session    include      postlogin