ssh-agent forwarding et sudo à un autre utilisateur

Si j'ai un serveur A sur lequel je peux me connecter avec ma clé ssh et que j'ai la possibilité de "sudo su - otheruser", je perds le transfert de clé, car les variables env sont supprimées et le socket est uniquement lisible par mon utilisateur d'origine. Existe-t-il un moyen de relier la transmission de clé via "sudo su - otheruser", afin de pouvoir effectuer des tâches sur un serveur B avec ma clé transférée (git clone et rsync dans mon cas)?

La seule façon dont je peux penser est d’ajouter ma clé à allowed_keys d’autre utilisateur et de "ssh otheruser @ localhost", mais c’est fastidieux à faire pour chaque combinaison utilisateur / serveur que je peux avoir.

En bref:

$ sudo -HE ssh user@host
(success)
$ sudo -HE -u otheruser ssh user@host
Permission denied (publickey). 

Comme vous l'avez mentionné, les variables d'environnement sont supprimées par sudo, pour des raisons de sécurité.

Mais heureusement, il sudoest assez configurable: vous pouvez indiquer précisément les variables d’environnement que vous souhaitez conserver grâce à l’ env_keepoption de configuration de /etc/sudoers.

Pour le transfert d’agent, vous devez conserver la SSH_AUTH_SOCKvariable d’environnement. Pour ce faire, modifiez simplement votre /etc/sudoersfichier de configuration (en utilisant toujours visudo) et définissez l' env_keepoption sur les utilisateurs appropriés. Si vous voulez que cette option soit définie pour tous les utilisateurs, utilisez la Defaultsligne comme ceci:

Defaults    env_keep+=SSH_AUTH_SOCK

man sudoers pour plus de détails.

Vous devriez maintenant pouvoir faire quelque chose comme ceci ( user1la clé publique fournie est présente dans ~/.ssh/authorized_keysin user1@serverAet user2@serverB, et serverAle /etc/sudoersfichier est configuré comme indiqué ci-dessus):

user1@mymachine> eval `ssh-agent`  # starts ssh-agent
user1@mymachine> ssh-add           # add user1's key to agent (requires pwd)
user1@mymachine> ssh -A serverA    # no pwd required + agent forwarding activated
user1@serverA> sudo su - user2     # sudo keeps agent forwarding active :-)
user2@serverA> ssh serverB         # goto user2@serverB w/o typing pwd again...
user2@serverB>                     # ...because forwarding still works

sudo -E -s

• -E préservera l'environnement
• -s lance une commande, un shell par défaut

Cela vous donnera un shell root avec les clés d'origine encore chargées.

Autorisez un autre utilisateur à accéder au $SSH_AUTH_SOCKfichier et à son répertoire, par exemple par une liste de contrôle d'accès correcte, avant de passer à eux. L'exemple suppose Defaults:user env_keep += SSH_AUTH_SOCKdans /etc/sudoersla machine hôte:

$ ssh -A user@host
user@host$ setfacl -m otheruser:x   $(dirname "$SSH_AUTH_SOCK")
user@host$ setfacl -m otheruser:rwx "$SSH_AUTH_SOCK"
user@host$ sudo su - otheruser
otheruser@host$ ssh server
otheruser@server$

Plus sécurisé et fonctionne aussi pour les utilisateurs non-root ;-)

J'ai trouvé que cela fonctionne aussi.

sudo su -l -c "export SSH_AUTH_SOCK=$SSH_AUTH_SOCK; bash"

Comme d'autres l'ont fait remarquer, cela ne fonctionnera pas si l'utilisateur vers lequel vous basculez n'a pas les autorisations de lecture sur $ SSH_AUTH_SOCK (ce qui correspond à peu près à tout utilisateur autre que root). Vous pouvez contourner ce problème en définissant $ SSH_AUTH_SOCK et le répertoire dans lequel se trouvent les autorisations 777.

chmod 777 -R `dirname $SSH_AUTH_SOCK`
sudo su otheruser -l -c "export SSH_AUTH_SOCK=$SSH_AUTH_SOCK; bash"

C'est assez risqué cependant. Vous donnez à tous les autres utilisateurs du système l'autorisation d'utiliser votre agent SSH (jusqu'à ce que vous vous déconnectiez). Vous pourrez peut-être également définir le groupe et modifier les autorisations sur 770, ce qui pourrait être plus sécurisé. Cependant, lorsque j'ai essayé de changer de groupe, j'ai reçu "Opération non autorisée".

Si vous êtes autorisé à le faire sudo su - $USER, vous auriez probablement un bon argument pour pouvoir le faire à la ssh -AY $USER@localhostplace, avec votre clé publique valide dans le répertoire de base de $ USER. Ensuite, votre transfert d'authentification sera effectué avec vous.

Vous pouvez toujours utiliser ssh sur localhost avec le transfert d’agent au lieu d’utiliser sudo:

ssh -A otheruser@localhost

L'inconvénient est que vous devez vous reconnecter, mais si vous l'utilisez dans un onglet screen / tmux, ce n'est qu'un effort ponctuel. Cependant, si vous vous déconnectez du serveur, le socket sera (bien sûr) cassé à nouveau. . Ce n’est donc pas idéal si vous ne pouvez pas garder votre session screen / tmux ouverte à tout moment (toutefois, vous pouvez mettre à jour manuellement votre SSH_AUTH_SOCKvariable d’env si vous êtes cool).

Notez également qu'en utilisant le transfert ssh, root peut toujours accéder à votre socket et utiliser votre authentification ssh (tant que vous êtes connecté avec le transfert ssh). Assurez-vous donc que vous pouvez faire confiance à root.

Ne pas utiliser sudo su - USER, mais plutôt sudo -i -u USER. Travaille pour moi!

En combinant les informations des autres réponses, je suis arrivé à ceci:

user=app
setfacl -m $user:x $(dirname "$SSH_AUTH_SOCK")
setfacl -m $user:rwx "$SSH_AUTH_SOCK"
sudo SSH_AUTH_SOCK="$SSH_AUTH_SOCK" -u $user -i

J'aime ça parce que je n'ai pas besoin d'éditer un sudoersfichier.

Testé sur Ubuntu 14.04 (il fallait installer le aclpaquet).

Je pense qu'il y a un problème avec l' -option (tiret) après sudans votre commande:

sudo su - otheruser

Si vous lisez la page de manuel de su , vous constaterez peut-être que cette option -, -l, --loginlance l’environnement shell en tant que shell de connexion. Ce sera l'environnement pour otheruserindépendamment des variables env où vous exécutez su.

En termes simples, le tiret va saper tout ce que vous avez quitté sudo.

Au lieu de cela, vous devriez essayer cette commande:

sudo -E su otheruser

Comme @ joao-costa l'a souligné, -Etoutes les variables de l'environnement dans lequel vous vous êtes exécuté seront conservées sudo. Ensuite, sans le tiret, suutilisera cet environnement directement.

Malheureusement, lorsque vous vous adressez à un autre utilisateur (ou même que vous utilisez sudo), vous perdez la possibilité d'utiliser vos clés transférées. Ceci est une fonctionnalité de sécurité: Vous ne voulez pas que des utilisateurs aléatoires se connectent à votre agent ssh et utilisent vos clés :)

La méthode "ssh -Ay $ {USER}" @localhost "est un peu fastidieuse (et comme indiqué dans mon commentaire sur la réponse de David susceptible de se briser), mais c'est probablement ce que vous pouvez faire de mieux.