SSH auf meherer Systemen

[geist_der_foren]

Hi @all,

da wir öfters auf mehreren Systemen immer wieder die gleiche Arbeit ausrichten müssen, habe ich mir überlegt, ein „ganz einfachen“ Skript zu schreiben, das automatisch macht ...

z.B.:

 #!/bin/bash


for IP in `cat ip-adressen`

  do

   echo "ssh -i /shell-skripte/private_key -l root $IP usermod -c \"Kommentar\" username"

  done

Ich hab nur ein Problem, wir haben aus Sicherheitsgründen, den RootLogin gesperrt, d.h. man kann sich nicht mit root an der Konsole und auch nicht über SSH anmelden ...

Hat jemand eine Idee wie ich das prob lösen könnte ?!

Danke schon mal im voraus ..

Wir haben noch eine paar user, die über sudo su – machen dürfen... Vielleicht wär das eine Idee ?! Aber wie soll ich es im skript umsetzten ?

[geist_der_foren]

Villeicht sollte ich meine Frage anders Stellen...

Hat jemand eine Idee, wie ich befehle mit root Rechte auf anderen Rechner über SSH ausführen kann ?

[alligator]

Hallo,

richte einen sudo-User ein, der dieses usermodd machen darf und log dich doch dann mit den sudo-Benutzer an dem System ein und führe den Befehle dann aus. (z.b. via rsh)

P.S.:

Natürlich sollte vorher die .rhosts bzw. hosts.equiv demenstprechend editert worden sein ...

cya

alligator

[SystemError]

Hallo,

es klingt jetzt vielleicht doof und wird dir evtl. nicht sonderlich weiterhelfen, aber:

Warum nicht den RootLogin per SSH erlaben ?

"sshd_config" -> "PermitRootLogin yes"

Potentiell unsicherer als den direkten RootLogin via SSH zu unterbinden aber sicherlich doch noch sicherer als Dienste wie RSH oder Telnet zu aktivieren...

Bye

SystemError

[geist_der_foren]

@alligator

Die r-dienste Sind einfach zu unsicher ! Wir haben sie deshalb abgeschaltet ...

@SystemError

Ich weiß, wir haben das RootLogin, bewust gespert ...

Gibt es sond keine andere Möglickeit, auser das ich Root wieder aufmachen muss ?

[geist_der_foren]

Ich versuche das mal anders zu erklären:

Wir haben ca. 40 Server hier stehen. Jetzt muss ich immer wieder die gleichen Aufgaben auf den 40 Server erlediegen, wie z.B.: einen User anlegen, passwörtert ändern u.s.w. Bisher muste ich mich auf allen 40 Servern einlogen und die arbeit von Hand erledigen

Ich würde das gerne über ein Skript laufen lassen.

Jetzt sind da folgende Probleme:

- r-Dienste sind zu unsicher, dehalb auch abgechaltet

- Rootlogin wurde abgeschaltet (sshd_config --> PermitRootlogin no)

Wie haben eine gruppe (rootadmin) den wir über Sudo das rechte gegeben haben /bin/su zu machen.

Was ich mir überlegt habe, ich könnte doch die r-Dienste über einen SSH-Tunnel laufen lassen, dann wären sie doch sicher und ich könnte rsh die skripte ausführen lassen oder ist das keine Gute Idee ???

[root@localhost]

Hey,

von Windows aus :

> Benutze doch einfach "plink", ist irgendwo beim putty Paket

> dabei. Bsp: plink -v -ssh -pw passwort benutzer@host command

von Linux aus :

Skript mit den auszuführenden Befehlen z.B. mit nfs auf einem Server freigeben, dann

auf den CLIENTS(!), evtl. per Cronjob einmal am Tag aufrufen lassen.

Wenn mal keine Änderungen vorzunehmen sind, kannst du ja das freigegebene Skript einfach "leer" machen.

Gibt allerdings nochmehr Möglichkeiten

Ciao

r##t

[geist_der_foren]

@root@localhost

Danke für deine Antwort ...

Muss nicht unbeding von einer Linux Maschine laufen ... Wenn ich das Plink benutze, dann muss ich mich ja wieder als root anmelden oder nicht verstehe ich das jetzt falsch ? Also root kann ich mich aber nicht anmelden.

Das zweite habe nicht wirklich verstanden ...

Also mein Problem ist gerade, ich muss auf ca. 40 Clients einen User anlegen und für einen Anderen User, dass Kommentar ändern, ohne mich auf den 40 Clients einzulogen ... :confused:

[alligator]

Hallo,

nur mal als kleine Idee für dein Umfeld, wie es sich anhört, wäre doch NIS+ bzw. LDAP mal ein Ansatz um dein Adminaufwand zu reduzieren.

P.S:

Ich sehe die remote-Geschichten entspannt, wenn man damit im Inhouse-Bereich fungiert, sprich nicht im Internet ist bzw. hinter der DMZ ...

cya

alligator

[geist_der_foren]

ich kenn mich mit NIS+ und LDAP einfach zu wenig bzw. garnich aus ...

Wie groß ist da der Aufwand ???

Um vom Thema nicht abzukommen, hat schon mal jemand mit der Distributed Shell (dsh) gerarbeitet ???

[Schlaubi]

Original geschrieben von geist_der_foren

 #!/bin/bash


for IP in `cat ip-adressen`

  do

   echo "ssh -i /shell-skripte/private_key -l root $IP usermod -c \"Kommentar\" username"

  done

Wir haben noch eine paar user, die über sudo su – machen dürfen... Vielleicht wär das eine Idee ?! Aber wie soll ich es im skript umsetzten ?

Hallo, vielleicht hilft dir das weiter... Damit du dich nicht auf allen 40 Servern einzeln einloggen musst könntest du auch Code auf den einzelnen Systemen ausführen...in etwa so:

ssh root@host "pwd"

vielleicht kannst du das mit sudo kombinieren. Ich weiß nicht ob auf jeder der Maschienen dieser sudo su - Befehl möglich ist bzw. die Gruppe rootadmin existiert?

[geist_der_foren]

Danke für den Tip ... ich werde es mal versuchen

Also die Gruppe rootadmin ist auf jeder Maschine definiert ...

[Schlaubi]

Hallo, schau dir das auch mal an - sehr Interessanter Artikel:

hier

[geist_der_foren]

@Schlaubi

Danke für den Link ... Ich hab es jetzt hinbekommen.

Und zwar habe ich auf jder Maschine jetzt einen user "remote_user" der im Sudo die Berechtinung /bin/su zu machen (Ohne Passwort eingabe). Mit folgenden Code geht es ...

ssh -i /shell-skripte/private_key -l remote_user 10.200.100.48 sudo su - -c '/usr/sbin/useradd\ -m\ test1222222'

Man übergibt beim Aufruf vom /bin/su mit der Option -c einfach das Befehl als Kommentar ...

Danke noch mal @all für die Hilfe ...