Можно ли дать возможность user с nologin shell исполнять определенную команду?

Question

[Вадим]

не знаю, кто-то сталкивался с такой конфигурацией ssh. В системе есть юзер, скажем user1, который не может логинится, но должен иметь возможность выполнять команду с параметрами по ssh, типа того

ssh -i ~/ssh_connection_keys/user2_rsa  user2@"$ip_address"  "/var/scripts/server1.sh $param1 $param2 $param3"

я не хочу давать никакие ssh logins другим пользователям, а потом выполнять эту команду через su/sudo user2 ! Единственный user это user2, который должен иметь эту возможность и то ограничен nologin shell

Пробую решить через Match User в sshd_config, но не совсем понятно куда копать

Comments

[Alexey Dmitriev]

Добавьте ему скрипт с командой в шелл + выход после её выполнения.
Зашёл команда выполнилась и вышел

Answer 1

[rPman]

sudo -i -u user_name команда
данная команда запустит команду от нужного пользователя без процесса авторизации
соответственно запихни ее в скрипт, разреши запускать данный скрипт через sudo (да получается каскадно 2 sudo) другому пользователю, которому разрешен логин через ssh

Comments

[Вадим]

удалите свой ответ пожалуйста, я обьясню в вопросе

[rPman]

Вадим, я обновил ответ, перечитай, если что удалю

[Вадим]

это я все знаю, никаких др логинов кроме рута там не будет - цель дать определенному пользователю запускать этот скрипт и ничего более

[rPman]

Вадим, на сколько я знаю весь смысл указания шела nologin для того и заведен, чтобы нельзя было запускать скрипты, а только работать с файлами

не представляю как это можно в принципе обойти, так как это буквально механизм защиты

[hint000]

rPman, если вместо nologin и вместо bash указать конкретную команду, то она будет выполняться интерактивно и по завершению будет закрываться подключение. Но тут сложность с передачей параметров.
Я в молодости так страдал фигнёй, и это даже работало, но мне не требовалась передача параметров. Более конкретно: нескольким пользоватеелям был предоставлен доступ по FTP с паролем. И я прописал им шелом команду passwd, чтобы они могли самостоятельно менять свой пароль и больше ничего.
В принципе всегда можно же написать свой собственный "командный интерпретатор", который должен понимать параметры, уметь запускать одну команду с этими параметрами и ничего другого не должен делать.

[pddev]

rPman, А если некий процесс будет мониторить появление или изменение некоторого файла, что будет сигналом к запуску скрипта (может быть с параметрами из содержимого или имени/пути файла?..

[rPman]

да такой скрипт можно сделать, пусть мониторит появление файла-скрипта в нужном каталоге, перемещает его в другое место и запускает, скрипт из 3-5 строчек

но зачем так извращаться то?

[Вадим]

hint000,

разобрался с передачей параметров, их можно получить внутри скрипта из переменной SSH_CONNECTION_ARGS

Отлично, подошло

Answer 2

[Saboteur]

я бы просто поднял веб сервер через который можно дернуть шелл скрипт.