maneira adequada de sudo sobre ssh

Eu tenho um script que executa outro script via SSH em um servidor remoto usando o sudo. No entanto, quando eu digito a senha, ela aparece no terminal. (Caso contrário, funciona bem)

ssh user@server "sudo script"

Qual é a maneira correta de fazer isso para que eu possa digitar a senha do sudo pelo SSH sem que a senha apareça enquanto digito?

Outra maneira é usar a -topção para ssh:

ssh -t user@server "sudo script"

Veja man ssh:

 -t      Force pseudo-tty allocation.  This can be used to execute arbi-
         trary screen-based programs on a remote machine, which can be
         very useful, e.g., when implementing menu services.  Multiple -t
         options force tty allocation, even if ssh has no local tty.

Consegui automatizá-lo totalmente com o seguinte comando:

echo pass | ssh -tt user@server "sudo script"

Vantagens:

• nenhuma solicitação de senha
• não mostrará a senha no histórico do bash da máquina remota

Com relação à segurança: como Kurt disse, a execução desse comando mostrará sua senha no histórico local do bash, e é melhor salvar a senha em um arquivo diferente ou salvar o comando all em um arquivo .sh e executá-lo. NOTA: O arquivo precisa ter as permissões corretas para que somente os usuários permitidos possam acessá-lo.

Supondo que você não queira nenhum prompt de senha :

ssh $HOST 'echo $PASSWORD | sudo -S $COMMMAND'

Exemplo

ssh me@localhost 'echo secret | sudo -S echo hi' # outputs 'hi'

Sudo sobre SSH passando uma senha, não é necessário tty:

Você pode usar o sudo sobre ssh sem forçar o ssh a ter um pseudo-tty (sem o uso da opção ssh "-t") dizendo ao sudo para não exigir uma senha interativa e apenas pegar a senha do stdin. Você faz isso usando a opção "-S" no sudo. Isso faz com que o sudo escute a senha no stdin e pare de ouvir quando vir uma nova linha.

Exemplo 1 - Comando Remoto Simples

Neste exemplo, enviamos um whoamicomando simples :

$ ssh user@server cat \| sudo --prompt="" -S -- whoami << EOF
> <remote_sudo_password>
root

Estamos dizendo ao sudo para não emitir um prompt e receber sua entrada do stdin. Isso faz com que a senha do sudo passe completamente silenciosa, de modo que a única resposta que você recebe é a saída whoami.

Essa técnica tem o benefício de permitir que você execute programas através do sudo over ssh, os quais requerem entrada stdin. Isso ocorre porque o sudo está consumindo a senha na primeira linha do stdin e, em seguida, permitindo que qualquer programa executado continue a pegar o stdin.

Exemplo 2 - Comando remoto que requer seu próprio stdin

No exemplo a seguir, o comando remoto "cat" é executado através do sudo, e estamos fornecendo algumas linhas extras através do stdin para o gato remoto exibir.

$ ssh user@server cat \| sudo --prompt="" -S -- "cat" << EOF
> <remote_sudo_password>
> Extra line1
> Extra line2
> EOF
Extra line1
Extra line2

A saída demonstra que a <remote_sudo_password>linha está sendo consumida pelo sudo e que o gato executado remotamente está exibindo as linhas extras.

Um exemplo de onde isso seria benéfico é se você deseja usar o ssh para passar uma senha para um comando privilegiado sem usar a linha de comando. Digamos, se você deseja montar um contêiner criptografado remoto sobre ssh.

Exemplo 3 - Montagem de um contêiner VeraCrypt remoto

Neste script de exemplo, estamos montando remotamente um contêiner VeraCrypt através do sudo sem nenhum texto extra de solicitação:

#!/bin/sh
ssh user@server cat \| sudo --prompt="" -S -- "veracrypt --non-interactive --stdin --keyfiles=/path/to/test.key /path/to/test.img /mnt/mountpoint" << EOF
SudoPassword
VeraCryptContainerPassword
EOF

Deve-se observar que em todos os exemplos de linha de comando acima (tudo, exceto o script), a << EOFconstrução na linha de comando fará com que tudo que for digitado, incluindo a senha, seja gravado no arquivo .bash_history da máquina local . Portanto, é altamente recomendável que, para uso no mundo real, você o faça inteiramente por meio de um script, como o exemplo veracrypt acima, ou, se na linha de comando, coloque a senha em um arquivo e redirecione-o através do ssh.

Exemplo 1a - Exemplo 1 sem senha de linha de comando local

O primeiro exemplo seria assim:

$ cat text_file_with_sudo_password | ssh user@server cat \| sudo --prompt="" -S -- whoami
root

Exemplo 2a - Exemplo 2 sem senha de linha de comando local

e o segundo exemplo seria:

$ cat text_file_with_sudo_password - << EOF | ssh va1der.net cat \| sudo --prompt="" -S -- cat
> Extra line1
> Extra line2
> EOF
Extra line1
Extra line2

Colocar a senha em um arquivo separado é desnecessário se você estiver colocando a coisa toda em um script, pois o conteúdo dos scripts não termina no seu histórico. Ainda pode ser útil, no entanto, caso você queira permitir que usuários que não devem ver a senha executem o script.

A melhor maneira é ssh -t user@server "sudo <scriptname>", por exemplo ssh -t user@server "sudo reboot". Ele solicitará a senha do usuário primeiro e depois a raiz (já que estamos executando o script ou comando com privilégio de raiz.

Espero que tenha ajudado e esclarecido sua dúvida.

NOPASSna configuração em sua máquina de destino é a solução. Continue lendo em http://maestric.com/doc/unix/ubuntu_sudo_without_password

echo $VAR_REMOTEROOTPASS | ssh -tt -i $PATH_TO_KEY/id_mykey $VAR_REMOTEUSER@$varRemoteHost 
echo \"$varCommand\" | sudo bash

Eu enfrentei um problema,

user1@server1$ ssh -q user1@server2 sudo -u user2 rm -f /some/file/location.txt

Output:
sudo: no tty present and no askpass program specified

Então eu tentei com

#1
vim /etc/sudoers
Defaults:user1    !requiretty

não funcionou

#2
user1   ALL=(user2)         NOPASSWD: ALL

que funcionou corretamente!

Dependendo do seu uso, obtive sucesso com o seguinte:

ssh root@server "script"

Isso solicitará a senha root e, em seguida, execute o comando corretamente.