Re: Remoteaufruf eines Kommandos
Hallo Tom, Tom Schmitt <[EMAIL PROTECTED]> wrote: > > Wenn ich das Kommando abgesetzt habe, dann brauche ich noch den Rückgabewert > des Kommandos, ob alles gut gegangen ist. Aber so wird nur das Kommando > abgesetzt und dann die Verbindung getrennt. Der Rückgabewert wird nicht > übermittelt. $ ssh server exit 42 $ echo $? 42 Schöne Grüße, Jörg. -- Die beste Tarnung ist die Wahrheit. Die glaubt einem keiner! (Max Frisch: "Biedermann und die Brandstifter") -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Remoteaufruf eines Kommandos
Mario 'BitKoenig' Holbe wrote: > Simon Eilting <[EMAIL PROTECTED]> wrote: > > Mario 'BitKoenig' Holbe wrote: > >> Was hat der PATH damit zu tun, welche binaries jemand ausfuehren darf? > > In rbash darf man nur Programme ausführen, die im PATH stehen. > > Ah, den rbash-Bezug hab ich uebersehen, sorry :) > Is allerdings trotzdem ein kleines Stueck Arbeit - insbesondere wenn man > eine halbwegs gesicherte Umgebung fuer die Ausfuehrung von > Shell-Scripten bauen will: Wenn im PATH bis auf das Verzeichnis, in dem das /eine Programm/ steht, leer ist, sollte das nicht so ein Problem sein. -- Simon Eilting -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Remoteaufruf eines Kommandos
> > > > Darf ich rbash als login-shell vorschlagen? Musst dafür nur > > > > den PATH so setzen, dass er nur dieses eine Programm enthält. > > > > Danke für den Hinweis. Ich werde es mal mit der rbash versuchen. > Ich hab da noch eine Nachfrage. Vermutlich übersehe ich irgendetwas offensichtliches: Wenn ich das Kommando abgesetzt habe, dann brauche ich noch den Rückgabewert des Kommandos, ob alles gut gegangen ist. Aber so wird nur das Kommando abgesetzt und dann die Verbindung getrennt. Der Rückgabewert wird nicht übermittelt. Gibt es da einen Trick? Oder geht das so überhaupt nicht? -- GMX DSL = Maximale Leistung zum minimalen Preis! 2000 MB nur 2,99, Flatrate ab 4,99 Euro/Monat: http://www.gmx.net/de/go/dsl -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Remoteaufruf eines Kommandos
Tom Schmitt schrieb: > > Allerdings könnte der OP die Daten über die Standardeingabe anstelle > > der Kommandozeile übergeben. > > Hm, dazu müßte ich dann aber sowohl das aufzurufende Kommando als auch das > Programm, dass den Aufruf macht entsprechend umändern, oder? Aus »ssh [EMAIL PROTECTED] '/pfad/kommando --parameter data'« wird: »echo data | ssh [EMAIL PROTECTED] Und in authorized_keys sieht das dann so aus: command="read arg; /pfad/kommando --parameter $arg",... Ciao Walter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Remoteaufruf eines Kommandos
On 09.09.05 09:48:09, Mario 'BitKoenig' Holbe wrote: > Simon Eilting <[EMAIL PROTECTED]> wrote: > > Mario 'BitKoenig' Holbe wrote: > >> Was hat der PATH damit zu tun, welche binaries jemand ausfuehren darf? > > In rbash darf man nur Programme ausführen, die im PATH stehen. > > Ah, den rbash-Bezug hab ich uebersehen, sorry :) > Is allerdings trotzdem ein kleines Stueck Arbeit - insbesondere wenn man > eine halbwegs gesicherte Umgebung fuer die Ausfuehrung von > Shell-Scripten bauen will: > > [EMAIL PROTECTED]:/home/holbe% rbash > [EMAIL PROTECTED]:~$ /bin/true > rbash: /bin/true: restricted: cannot specify `/' in command names > [EMAIL PROTECTED]:~$ bash > [EMAIL PROTECTED]:~$ /bin/tru Aehm, wenn du /bin in den PATH stellst ist natuerlich der Einsatz von rbash voellig absurd. Aber wenn du PATH auf z.B. /usr/local/restricted-bin setzt und dort dann Symlinks fuer die Programme anlegst die der Nutzer ausfuehren darf bist du mit durch. Oder auch einfach in sein $HOME/bin, wenn man mehrere Nutzer verschieden konfigurieren will. Andreas -- Don't look back, the lemmings are gaining on you. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Remoteaufruf eines Kommandos
> --- Ursprüngliche Nachricht --- > Von: Joerg Sommer <[EMAIL PROTECTED]> > > ssh [EMAIL PROTECTED] '/pfad/kommando --parameter data' > > > > Nun möchte ich aus Sicherheitsgründen aber nicht, dass dieser User > gleich > > eine Shell zur Verfügung bekommen kann und irgendwelche andere Kommandos > > ausführt. Ich würde den Zugriff gerne auf dieses eine Kommando > begrenzen. > > > > Hat jemand eine Idee, wie ich das machen könnte? > > Ich war immer der Meinung, dass man das im sshd Konfigurieren kann, > welche Befehle ausführbar sind. Aber ich hab jetzt nur sshd(8)/restrict > gefunden. Damit solltest du dein Problem lösen können. Das ist aber identisch mit der in der authorized_keys eingetragenen Begrenzung, die nur statische EInträge ermöglicht, oder? Bei mir werden ja unterschiedliche Daten beim Aufruf mit übergeben. -- GMX DSL = Maximale Leistung zum minimalen Preis! 2000 MB nur 2,99, Flatrate ab 4,99 Euro/Monat: http://www.gmx.net/de/go/dsl -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Remoteaufruf eines Kommandos
> --- Ursprüngliche Nachricht --- > Von: Simon Eilting <[EMAIL PROTECTED]> > > > Darf ich rbash als login-shell vorschlagen? Musst dafür nur > > > den PATH so setzen, dass er nur dieses eine Programm enthält. > > > > Was hat der PATH damit zu tun, welche binaries jemand ausfuehren darf? > > Hätte nicht gedacht, dass ich das mal sagen würde, aber: RTFM. > In rbash darf man nur Programme ausführen, die im PATH stehen. Danke für den Hinweis. Ich werde es mal mit der rbash versuchen. -- 5 GB Mailbox, 50 FreeSMS http://www.gmx.net/de/go/promail +++ GMX - die erste Adresse für Mail, Message, More +++ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Remoteaufruf eines Kommandos
> --- Ursprüngliche Nachricht --- > Von: Andreas Vögele <[EMAIL PROTECTED]> > >> ssh [EMAIL PROTECTED] '/pfad/kommando --parameter data' > > ... > > > >> ausführt. Ich würde den Zugriff gerne auf dieses eine Kommando > >> begrenzen. > > > > man sshd > > ... > > AUTHORIZED_KEYS FILE FORMAT > > ... > > Das geht aber nur, wenn die Kommandozeilenparameter nicht variabel > sind, oder? Und aus "/pfad/kommando --parameter data" würde ich > schliessen, das die übergebenen Daten bei jedem Aufruf anders sind. Ja, genau das ist mein Problem. > Allerdings könnte der OP die Daten über die Standardeingabe anstelle > der Kommandozeile übergeben. > Hm, dazu müßte ich dann aber sowohl das aufzurufende Kommando als auch das Programm, dass den Aufruf macht entsprechend umändern, oder? Ich denke, ich werde es mal mit der rbash versuchen, die ein anderer Poster empfohlen hat. -- 5 GB Mailbox, 50 FreeSMS http://www.gmx.net/de/go/promail +++ GMX - die erste Adresse für Mail, Message, More +++ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Remoteaufruf eines Kommandos
Andreas Vögele <[EMAIL PROTECTED]> wrote: > Am 08.09.2005 um 17:18 schrieb Mario 'BitKoenig' Holbe: >> AUTHORIZED_KEYS FILE FORMAT > Das geht aber nur, wenn die Kommandozeilenparameter nicht variabel > sind, oder? Und aus "/pfad/kommando --parameter data" würde ich Das ist korrekt. regards Mario -- talk softly and carry a keen sword -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Remoteaufruf eines Kommandos
Simon Eilting <[EMAIL PROTECTED]> wrote: > Mario 'BitKoenig' Holbe wrote: >> Was hat der PATH damit zu tun, welche binaries jemand ausfuehren darf? > In rbash darf man nur Programme ausführen, die im PATH stehen. Ah, den rbash-Bezug hab ich uebersehen, sorry :) Is allerdings trotzdem ein kleines Stueck Arbeit - insbesondere wenn man eine halbwegs gesicherte Umgebung fuer die Ausfuehrung von Shell-Scripten bauen will: [EMAIL PROTECTED]:/home/holbe% rbash [EMAIL PROTECTED]:~$ /bin/true rbash: /bin/true: restricted: cannot specify `/' in command names [EMAIL PROTECTED]:~$ bash [EMAIL PROTECTED]:~$ /bin/true [EMAIL PROTECTED]:~$ exit [EMAIL PROTECTED]:~$ exit [EMAIL PROTECTED]:/home/holbe% regards Mario -- I heard, if you play a NT-CD backwards, you get satanic messages... That's nothing. If you play it forwards, it installs NT. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Remoteaufruf eines Kommandos
Hallo Tom, Tom Schmitt <[EMAIL PROTECTED]> wrote: > > Hi, > > ich habe ein Programm auf einem Server, dass des öfteren ein Programm auf > einem anderen Server in der Form "Kommando --parameter Daten" aufrufen soll. > > Ganz plump kann ich dass ja mit ssh machen: > ssh [EMAIL PROTECTED] '/pfad/kommando --parameter data' > > Nun möchte ich aus Sicherheitsgründen aber nicht, dass dieser User gleich > eine Shell zur Verfügung bekommen kann und irgendwelche andere Kommandos > ausführt. Ich würde den Zugriff gerne auf dieses eine Kommando begrenzen. > > Hat jemand eine Idee, wie ich das machen könnte? Ich war immer der Meinung, dass man das im sshd Konfigurieren kann, welche Befehle ausführbar sind. Aber ich hab jetzt nur sshd(8)/restrict gefunden. Damit solltest du dein Problem lösen können. Schöne Grüße, Jörg. -- Das Recht, seine Meinung zu wechseln, ist eines der wichtigsten menschlichen Previlegien. (Robert Peel) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Remoteaufruf eines Kommandos
Mario 'BitKoenig' Holbe wrote: > Simon Eilting <[EMAIL PROTECTED]> wrote: > > Darf ich rbash als login-shell vorschlagen? Musst dafür nur > > den PATH so setzen, dass er nur dieses eine Programm enthält. > > Was hat der PATH damit zu tun, welche binaries jemand ausfuehren darf? Hätte nicht gedacht, dass ich das mal sagen würde, aber: RTFM. In rbash darf man nur Programme ausführen, die im PATH stehen. -- Simon Eilting -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Remoteaufruf eines Kommandos
Am 08.09.2005 um 17:18 schrieb Mario 'BitKoenig' Holbe: Tom Schmitt <[EMAIL PROTECTED]> wrote: ssh [EMAIL PROTECTED] '/pfad/kommando --parameter data' ... ausführt. Ich würde den Zugriff gerne auf dieses eine Kommando begrenzen. man sshd ... AUTHORIZED_KEYS FILE FORMAT ... Das geht aber nur, wenn die Kommandozeilenparameter nicht variabel sind, oder? Und aus "/pfad/kommando --parameter data" würde ich schliessen, das die übergebenen Daten bei jedem Aufruf anders sind. Allerdings könnte der OP die Daten über die Standardeingabe anstelle der Kommandozeile übergeben.
Re: Remoteaufruf eines Kommandos
Simon Eilting <[EMAIL PROTECTED]> wrote: > Darf ich rbash als login-shell vorschlagen? Musst dafür nur > den PATH so setzen, dass er nur dieses eine Programm enthält. Was hat der PATH damit zu tun, welche binaries jemand ausfuehren darf? regards Mario -- There are two major products that come from Berkeley: LSD and UNIX. We don't believe this to be a coincidence.-- Jeremy S. Anderson -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Remoteaufruf eines Kommandos
Christian Schmidt schrieb: > Man kann die "Funktionalitaet" der SSH-Keys auf bestimmte Kommandos > einschraenken, indem man diese irgendwo in die "Key-Files" > hineinschreibt... ~/.ssh/authorized_keys > Sorry fuer die vagen Andeutungen, aber ich habe vor einiger Zeit mal > irgendwo gelesen, bin aber leider nicht dazu gekommen, das selbst > auszuprobieren. man sshd Ciao Walter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Remoteaufruf eines Kommandos
Tom Schmitt <[EMAIL PROTECTED]> wrote: > ssh [EMAIL PROTECTED] '/pfad/kommando --parameter data' ... > ausführt. Ich würde den Zugriff gerne auf dieses eine Kommando begrenzen. man sshd ... AUTHORIZED_KEYS FILE FORMAT ... Ich hab hier z.B.: from="1.2.3.4",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty,command="/usr/local/etc/foo" ssh-dss ... regards Mario -- To err is human. To really foul things up requires a computer. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Remoteaufruf eines Kommandos
Hallo Tom, Tom Schmitt, 08.09.2005 (d.m.y): > ich habe ein Programm auf einem Server, dass des öfteren ein Programm auf > einem anderen Server in der Form "Kommando --parameter Daten" aufrufen soll. > > Ganz plump kann ich dass ja mit ssh machen: > ssh [EMAIL PROTECTED] '/pfad/kommando --parameter data' > > Nun möchte ich aus Sicherheitsgründen aber nicht, dass dieser User gleich > eine Shell zur Verfügung bekommen kann und irgendwelche andere Kommandos > ausführt. Ich würde den Zugriff gerne auf dieses eine Kommando begrenzen. > > Hat jemand eine Idee, wie ich das machen könnte? Man kann die "Funktionalitaet" der SSH-Keys auf bestimmte Kommandos einschraenken, indem man diese irgendwo in die "Key-Files" hineinschreibt... Sorry fuer die vagen Andeutungen, aber ich habe vor einiger Zeit mal irgendwo gelesen, bin aber leider nicht dazu gekommen, das selbst auszuprobieren. Googlen sollte Klarheit bringen. > (Es muss nicht per ssh sein, das war nur die naheliegenste Idee) Autsch: die _naechst_liegende! ;-) Gruss, Christian Schmidt -- Nichts scheut der Mensch mehr als ein Rendezvous mit sich selbst. Davon lebt die Unterhaltungsindustrie. -- Fritz Muliar signature.asc Description: Digital signature
Re: Remoteaufruf eines Kommandos
Hi, > ich habe ein Programm auf einem Server, dass des öfteren ein Programm auf > einem anderen Server in der Form "Kommando --parameter Daten" aufrufen soll. > [...] > Nun möchte ich aus Sicherheitsgründen aber nicht, dass dieser User gleich > eine Shell zur Verfügung bekommen kann und irgendwelche andere Kommandos > ausführt. Ich würde den Zugriff gerne auf dieses eine Kommando begrenzen. Darf ich rbash als login-shell vorschlagen? Musst dafür nur den PATH so setzen, dass er nur dieses eine Programm enthält. -- Simon Eilting -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Remoteaufruf eines Kommandos
ja hallo erstmal,... Am Donnerstag, 8. September 2005 15:29 schrieb Tom Schmitt: > Hi, > > ich habe ein Programm auf einem Server, dass des öfteren ein Programm auf > einem anderen Server in der Form "Kommando --parameter Daten" aufrufen > soll. > > Ganz plump kann ich dass ja mit ssh machen: > ssh [EMAIL PROTECTED] '/pfad/kommando --parameter data' > > Nun möchte ich aus Sicherheitsgründen aber nicht, dass dieser User gleich > eine Shell zur Verfügung bekommen kann und irgendwelche andere Kommandos > ausführt. Ich würde den Zugriff gerne auf dieses eine Kommando begrenzen. > > Hat jemand eine Idee, wie ich das machen könnte? Aufrufen anderer Programme, etc. mit Dateirechten /ACLs verhindern? Keep smiling yanosz