SSH-Berechtigung nur im Cron-Job verweigert

Question 1

Interaktive Befehle und Cron-Jobs werden in unterschiedlichen Umgebungen ausgeführt – insbesondereIn einer interaktiven Sitzung kann ein SSH-Agent ausgeführt oder ein Kerberos-TGT gespeichert sein.Aufgrund der Art und Weise, wie sshAuthentifizierungsmethoden bestellt werden,kann nichtStellen Sie sicher, dass Ihr Schlüssel nur verwendet wird, weil Sie die -iOption hinzugefügt haben.

Wenn ein SSH-Agent läuft, sshversucht der Client immer AgentenschlüsselVorunter Verwendung aller explizit angegebenen Schlüssel.
Wenn das Netzwerk Kerberos verwendet und ein Kerberos-TGT vorhanden ist, wird OpenSSH es verwendenVorVersuchen Sie die Authentifizierung mit öffentlichem Schlüssel.

Ich weiß nichts über Ihre Umgebung, aber beide Möglichkeiten sind leicht zu überprüfen:

Fügen Sie vor dem Befehl „ unset SSH_AUTH_SOCKund“ hinzu.unset KRB5CCNAMEsshDannFühren Sie das geänderte Skript manuell aus.

Dadurch wird verhindert, dass das Skript den Agenten oder die Kerberos-Tickets sieht, und es wird nur der explizit angegebene Schlüssel verwendet.
Fügen Sie die -vOption hinzu ssh. Dadurch werden detailliertere Informationen zur Authentifizierung angezeigt.

Sie können -oIdentitiesOnly=yesdem sshBefehl auch etwas hinzufügen. Dadurchzwingt es, den angegebenen Schlüssel zu verwenden.

Und wenn Sie Tipps zum Zugriff auf den Agenten von Cron hinzufügen - noch besser

Dies ist im Allgemeinen nicht zu empfehlen, da der Agent normalerweise eng mit Ihrer interaktiven Anmeldesitzung verknüpft ist. Insbesondere wird er nur gestartet, wenn Sie sich anmelden, und beendet, wenn Sie sich abmelden – und er benötigt Ihr Passwort, um die SSH-Schlüssel tatsächlich freizuschalten (vorausgesetzt, sie waren passwortgeschützt).

Sie haben "Keychain" erwähnt – ist das das OS X-Programm oder das Linux-Skript? (Ich weiß nicht viel über die Architektur von Mac OS X, aber meines Wissens nach macht es dasvielschwieriger, von einem Cronjob aus auf den SSH-Agenten des Benutzers zuzugreifen …)

Answer

Interaktive Befehle und Cron-Jobs werden in unterschiedlichen Umgebungen ausgeführt – insbesondereIn einer interaktiven Sitzung kann ein SSH-Agent ausgeführt oder ein Kerberos-TGT gespeichert sein.Aufgrund der Art und Weise, wie sshAuthentifizierungsmethoden bestellt werden,kann nichtStellen Sie sicher, dass Ihr Schlüssel nur verwendet wird, weil Sie die -iOption hinzugefügt haben.

Wenn ein SSH-Agent läuft, sshversucht der Client immer AgentenschlüsselVorunter Verwendung aller explizit angegebenen Schlüssel.
Wenn das Netzwerk Kerberos verwendet und ein Kerberos-TGT vorhanden ist, wird OpenSSH es verwendenVorVersuchen Sie die Authentifizierung mit öffentlichem Schlüssel.

Ich weiß nichts über Ihre Umgebung, aber beide Möglichkeiten sind leicht zu überprüfen:

Fügen Sie vor dem Befehl „ unset SSH_AUTH_SOCKund“ hinzu.unset KRB5CCNAMEsshDannFühren Sie das geänderte Skript manuell aus.

Dadurch wird verhindert, dass das Skript den Agenten oder die Kerberos-Tickets sieht, und es wird nur der explizit angegebene Schlüssel verwendet.
Fügen Sie die -vOption hinzu ssh. Dadurch werden detailliertere Informationen zur Authentifizierung angezeigt.

Sie können -oIdentitiesOnly=yesdem sshBefehl auch etwas hinzufügen. Dadurchzwingt es, den angegebenen Schlüssel zu verwenden.

Und wenn Sie Tipps zum Zugriff auf den Agenten von Cron hinzufügen - noch besser

Dies ist im Allgemeinen nicht zu empfehlen, da der Agent normalerweise eng mit Ihrer interaktiven Anmeldesitzung verknüpft ist. Insbesondere wird er nur gestartet, wenn Sie sich anmelden, und beendet, wenn Sie sich abmelden – und er benötigt Ihr Passwort, um die SSH-Schlüssel tatsächlich freizuschalten (vorausgesetzt, sie waren passwortgeschützt).

Sie haben "Keychain" erwähnt – ist das das OS X-Programm oder das Linux-Skript? (Ich weiß nicht viel über die Architektur von Mac OS X, aber meines Wissens nach macht es dasvielschwieriger, von einem Cronjob aus auf den SSH-Agenten des Benutzers zuzugreifen …)

Question 2

Eine weitere Problemumgehung für dieses Problem besteht darin, Cron so einzustellen, dass es per SSH auf die lokale Box zugreift, um dann den SSH-Befehl auszuführen, anstatt die Datei oder den Befehl über den lokalen, absoluten Pfad auszuführen. Dadurch wird der KRB5CCNAME zwischengespeichert und funktioniert dort, wo /path/command dies nicht tut.

# Fails:
0 * * * * /home/user/sshscript.sh

# Works:
0 * * * * /usr/bin/ssh user@localhost /home/user/sshscript.sh

#!/bin/bash
# Works:
unset SSH_AUTH_SOCK
unset KRB5CCNAME
/usr/bin/ssh user@localhost /home/user/sshscript.sh

Answer

Eine weitere Problemumgehung für dieses Problem besteht darin, Cron so einzustellen, dass es per SSH auf die lokale Box zugreift, um dann den SSH-Befehl auszuführen, anstatt die Datei oder den Befehl über den lokalen, absoluten Pfad auszuführen. Dadurch wird der KRB5CCNAME zwischengespeichert und funktioniert dort, wo /path/command dies nicht tut.

# Fails:
0 * * * * /home/user/sshscript.sh

# Works:
0 * * * * /usr/bin/ssh user@localhost /home/user/sshscript.sh

#!/bin/bash
# Works:
unset SSH_AUTH_SOCK
unset KRB5CCNAME
/usr/bin/ssh user@localhost /home/user/sshscript.sh

Question 3

Sie könnenssh-cronum geplante SSH-Verbindungen zu sicheren Servern einzurichten, ohne Ihre SSH-Schlüssel preiszugeben, aber mithilfe eines SSH-Agenten.

Answer

Sie könnenssh-cronum geplante SSH-Verbindungen zu sicheren Servern einzurichten, ohne Ihre SSH-Schlüssel preiszugeben, aber mithilfe eines SSH-Agenten.

Question 4

Sie können Ihr Skript oder Ihren Befehl in Crontab wie folgt ausführen:

0 * * * * bash -c -l "/home/Benutzer/sshscript.sh"

oder

0 * * * * bash -c -l "ssh root@IhrHost 'echo $HOSTNAME'"

Answer

Sie können Ihr Skript oder Ihren Befehl in Crontab wie folgt ausführen:

0 * * * * bash -c -l "/home/Benutzer/sshscript.sh"

oder

0 * * * * bash -c -l "ssh root@IhrHost 'echo $HOSTNAME'"

SSH-Berechtigung nur im Cron-Job verweigert

aktualisieren

Antwort1

Antwort2

Antwort3

Antwort4

verwandte Informationen