[Linux] Uitvoeren programma op andere Linux bak

Ik heb een PHP script dat via exec een bash script aanroept op een linux bak. Nu wil ik meer linux bakken daaronder aansluiten, voor een website. FTP login's van mensen ga ik doen dmv NFS; ze loggen in op een hoofd FTP server en kunnen bij de files op een andere server door een intern netwerk.

Nu wil ik zoiets dus ook doen met het uitvoeren van commando's. Ik wil PHP gewoon een bash script laten aanroepen op de hoofdserver, waarna dit bash script een commando uitvoert op een andere linux box.

Hoe pak ik dit aan? Het commando op de andere linux box kan gewoon onder nobody/nogroup worden uitgevoerd (lees: graag).

Een vriend zei dat dit ook kon over NFS, een commando uitvoeren wat op een andere PC draait. Mij lijkt dat niet kunnen, net als een windows netwerk, en ook omdat ik had gelezen dat er manieren zijn om het root filesystem van een box zelfs op een andere machine te mounten, het heeft weinig zin als alle commando's daarna op die andere machine worden uitgevoerd. Ook zou het een groot beveiligingslek zijn..

Thx!

Bedankt voor de reply's tot zover ik moet even wat werk hier afronden, ga ik straks even dit testen. Even wat googlen om te zien hoe ik zo'n 2e key maak.

Dit is toch niet een groot beveiligingslek he, dat iemand vanaf internet ook met een een of andere key kan inloggen?

Owkee, na een tijd ga ik dit dus eindelijk doen. Het is allemaal heel simpel, ik kan nu als root zo inloggen op de andere bak bijvoorbeeld. Maar dan...

User apache moet straks een script uitvoeren wat een commando uitvoert op een andere PC. Dit script draait dus ook onder gebruiker apache. En dan komt het: Gebruiker apache heeft nooit een home directory gekregen, waarin in het andere deel van de key kan zetten. Apache is een gebruiker voor het Apache proces, waarmee je dus niet kunt inloggen etc.

Weet iemand hoe ik dit probleem oplos?

Sendy schreef op 10 april 2004 @ 18:43:
Helaas zijn de r* utilities (rexec, rsh, rlogin) allemaal zo onveilig als de pest. ssh is voor dit soort geintjes een goede (de beste?) vervanger!

Pierre-oord >
Ik begrijp je probleem niet zo heel goed, maar je kan op het ssh commando opgeven waarvandaan hij de key moet lezen.

oh, als dat kan, ik ga op onderzoek uit dat ik daar niet aan dacht. I'll keep you posted

Sendy schreef op 10 april 2004 @ 18:43:
..

Pierre-oord >
Ik begrijp je probleem niet zo heel goed, maar je kan op het ssh commando opgeven waarvandaan hij de key moet lezen.

Eindelijk even tijd vandaag, ik heb zojuist gekeken in de --help en de man, maar nergens vind ik hoe ik dit moet doen. Ik heb dit probleem eigenlijk aan 2 kanten:

Op de server wil ik een gebruiker een commando laten uitvoeren, maar eigenlijk moet deze zich remote niet kunnen inloggen, dus met /bin/false en geen home dir, maar dan werkt SSH niet. Okee, ik heb daar nu maar een user voor gemaakt. Maar dan de andere kant, waar user "apache" een ssh commando gaat uitvoeren. Deze user heeft ook geen home directory, waarin een sleutel staat. En nergens vind ik een command line optie om de key uit een andere directory te lezen voor apache. Ik heb wel al een direcotry speciaal voor alleen lezen voor apache gemaakt, maar die moet wel oproepbaar zijn.

Ik hoop dat dit kan, anders moet ik een lastige constuctie maken met iets van sudo, die dan het ssh commando aanroept. Het wordt dan alleen erg "ingewikkeld" wat de beveiliging niet ten goede kan komen.

smokalot schreef op 12 april 2004 @ 16:25:
uit "man ssh":

code:

1 2 3 4 5 6 7 8

-i identity_file Selects a file from which the identity (private key) for RSA or DSA authentication is read. The default is $HOME/.ssh/identity for protocol version 1, and $HOME/.ssh/id_rsa and $HOME/.ssh/id_dsa for protocol version 2. Identity files may also be specified on a per-host basis in the configuration file. It is possible to have multiple -i options (and multiple identi- ties specified in configuration files).

dus dat kan prima...

Ik ga het zo gelijk testen, ik heb dit wel gelezen, maar heb over "and $HOME/.ssh/id_rsa and $HOME/.ssh/id_dsa for protocol version 2" heengelezen! Ik dacht dat identity er niets mee te maken had, heeft het ook niet, want het is v1. thx

Ja, met nfs zag ik ook een execute optie, maar dat zal ook wel niet veilig zijn denk ik. Ik bedoel, SSH is gecodeerd met 2 sleutels, NFS is een simpele optie die iedereen op de client zo kan gebruiken.

edit:
Het lijkt niet te willen werken:

tijdelijk@pierre:/apache$ ssh -p 2200 -2 -i /home/.server2ssh pierre@10.0.0.2 /servers/hlds 10 start
The authenticity of host '10.0.0.2 (10.0.0.2)' can't be established.
RSA key fingerprint is XX.XX.XX.XX.XX.XX.XX.XX.XX.XX.XX.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '10.0.0.2' (RSA) to the list of known hosts.
Enter passphrase for key '/home/.server2ssh':

tijdelijk@pierre:/apache$

Doe ik nu weer iets simpels fout?

[ Voor 58% gewijzigd door pierre-oord op 12-04-2004 21:20 ]

SirDupre schreef op 12 april 2004 @ 21:41:
Maar SSH is toch helemaal niet veiliger binnen een trusted netwerk omgeving? Als er NFS overheen loopt, is SSH toch helemaal niet veiliger? Zeker als het mogelijk is met NFS commando's uit te voeren, dan gebruikt een potentiële cracker toch gewoon NFS.... Als je zeker weet dat er niet zomaar afgetapt kan worden tussen die bakken, kan je net zo goed rexec gebruiken dan, lijkt me...

Daar heb je natuurlijk gelijk in maar voor mij is het toch maar een kleinigheid, en om het dan meteen veilig te doen. Het is ook veiliger met die sleutels op het systeem zelf geloof ik, als dat gekraakt wordt.

SSH is sleutels, en rexec is denk ik met wachtwoorden enzo. Hetzelfde geldt voor NFS. Met natuurlijk nog het idee dat iemand met een laptop in de server ruimte eng kan gaan doen.

Ik ga zo ook even die links lezen, even wat verplichtingen doen.

Even over mijn site sendy: die moet worden geupdate, ik zal zorgen voor een nieuw menu. Overigens heb ik op een windows ( ) systeem met mozilla geen problemen met de menu's, behalve dat ze soms niet willen inklappen, maar opnieuw erover muizen lost dat op. Maar ik zal er naar kijken, ik moet toch ook een nieuwe layout maken. Maar ja, het gaat om de info he

Over de passphrase:
Als ik onder een user waarin ik in de home dir de andere kant van de key heb staan hoef ik dat niet in te vullen. Echter, onder een andere user die geen .ssh dir heeft in de home directory, en ik daarna met de -l optie (of andere, iig om die files op te geven) dan krijg ik dus de vraag om dat password. Die heb ik gewoon leeggelaten, het zou automatisch moeten werken. De bestanden zijn ook ge chownt .. Ik ga het zo nog eens proberen, maar het blijft raar.

Het uiteindelijke doel is straks om user apache, zonder home dir, rechten te geven het commando uit te voeren. ik heb nu een tijdelijke oplossing, wat werkt: Met sudo het ssh commando aanroepen onder een user die wel de .ssh directory heeft staat in z'n home dir. Maar zoveel tool's vraagt om beveiligingsproblemen natuurlijk.

edit:
ssh-agent is de bedoeling voor met een password te werken. Dat gaat denk ik ook problemen geven met apache, net als met cron, zoals al genoemd staat in dat artikel.

Is er niet een heel andere benadering ofzo? Ik hoef maar 1 bestand op de remote PC uit te voeren via iets als SSH, een bash scriptje, en dat regelt daar alles verder. Verder hoeft SSH niets te kunnen op de bak, behalve met een password wel inloggen op de bak vanaf mijn huis bijvoorbeeld. Ik heb het liever wel veilig idd, niet dat als er een back word ge-root dan meteen de andere bak(ken) ook worden gestraft.

[ Voor 20% gewijzigd door pierre-oord op 13-04-2004 14:51 ]