ประโยชน์ของการไม่จัดสรรเทอร์มินัลใน ssh คืออะไร?

ทุกครั้งที่ฉันจะทำบางสิ่งบางอย่างเช่น

ssh user@host sudo thing

และฉันได้รับการเตือนว่า ssh ไม่ได้จัดสรรหลอกโดยค่าเริ่มต้น ทำไมไม่เป็นเช่นนั้น? สิ่งที่เป็นประโยชน์ผมจะสูญเสียถ้าฉัน aliased sshเพื่อssh -t?

แตกต่างหลักคือแนวคิดของการติดต่อสื่อสาร มันคล้ายกับการเรียกใช้คำสั่งในเครื่องของสคริปต์และพิมพ์ออกมาด้วยตนเอง มันแตกต่างกันที่คำสั่งระยะไกลจะต้องเลือกค่าเริ่มต้นและไม่ใช่แบบโต้ตอบที่ปลอดภัยที่สุด (และมักจะซื่อสัตย์ที่สุด)

STDIN

• หากมีการจัดสรร PTY แอปพลิเคชั่นสามารถตรวจจับสิ่งนี้และรู้ว่าปลอดภัยที่จะแจ้งให้ผู้ใช้รับข้อมูลเพิ่มเติมโดยไม่ทำลาย มีหลายโปรแกรมที่จะข้ามขั้นตอนในการกระตุ้นให้ผู้ใช้ป้อนข้อมูลหากไม่มีเทอร์มินัลอยู่และนั่นเป็นสิ่งที่ดี มันจะทำให้สคริปต์ที่จะแขวนมิฉะนั้นโดยไม่จำเป็น
• ข้อมูลของคุณจะถูกส่งไปยังเซิร์ฟเวอร์ระยะไกลในช่วงระยะเวลาของคำสั่ง ซึ่งรวมถึงลำดับการควบคุม ในขณะที่ตัวCtrl-cแบ่งจะทำให้เกิดการวนซ้ำบนคำสั่ง ssh เพื่อแยกทันทีลำดับการควบคุมของคุณจะถูกส่งไปยังเซิร์ฟเวอร์ระยะไกลแทน สิ่งนี้ส่งผลให้ต้อง "ค้อน" การกดแป้นพิมพ์เพื่อให้แน่ใจว่าจะมาถึงเมื่อการควบคุมออกจากคำสั่ง ssh แต่ก่อนที่คำสั่ง ssh ถัดไปจะเริ่มขึ้น

ฉันจะระมัดระวังไม่ให้ใช้ssh -tสคริปต์ที่ไม่ต้องดูแลเช่น crons เชลล์แบบไม่มีการโต้ตอบที่ขอให้คำสั่งรีโมตทำงานแบบโต้ตอบสำหรับอินพุตกำลังร้องขอปัญหาทุกชนิด

คุณสามารถทดสอบการมีอยู่ของเทอร์มินัลในเชลล์สคริปต์ของคุณเอง หากต้องการทดสอบ STDIN ด้วย bash เวอร์ชันใหม่:

# fd 0 is STDIN
[ -t 0 ]; echo $?

STDOUT

• เมื่อ aliasing sshเพื่อssh -tคุณสามารถคาดหวังที่จะได้รับผลตอบแทนการขนส่งพิเศษในสายของคุณสิ้นสุดลง อาจไม่ปรากฏให้คุณเห็น แต่มีอยู่ มันจะแสดงขึ้นเป็นเมื่อประปา^M cat -eจากนั้นคุณต้องใช้ความพยายามเพิ่มเติมเพื่อให้มั่นใจว่ารหัสควบคุมนี้ไม่ได้รับการกำหนดให้กับตัวแปรของคุณโดยเฉพาะอย่างยิ่งถ้าคุณกำลังจะแทรกผลลัพธ์นั้นลงในฐานข้อมูล
• นอกจากนี้ยังมีความเสี่ยงที่โปรแกรมจะถือว่าพวกเขาสามารถแสดงผลลัพธ์ที่ไม่เป็นมิตรกับการเปลี่ยนเส้นทางไฟล์ โดยปกติหากคุณต้องการเปลี่ยนเส้นทาง STDOUT ไปที่ไฟล์โปรแกรมจะรับรู้ว่า STDOUT ของคุณไม่ใช่เทอร์มินัลและไม่ต้องใส่รหัสสีใด ๆ หากการเปลี่ยนเส้นทาง STDOUT มาจากเอาต์พุตของไคลเอ็นต์ sshและมี PTY ที่เชื่อมโยงกับรีโมตปลายทางของไคลเอนต์โปรแกรมระยะไกลไม่สามารถแยกความแตกต่างได้และคุณจะจบลงด้วยเทอร์มินัลขยะในไฟล์เอาต์พุตของคุณ การเปลี่ยนทิศทางเอาต์พุตไปยังไฟล์บนรีโมตปลายทางของการเชื่อมต่อควรยังคงทำงานตามที่คาดไว้

นี่คือการทดสอบทุบตีเช่นเดียวกับก่อนหน้านี้ แต่สำหรับ STDOUT:

# fd 1 is STDOUT
[ -t 1 ]; echo $?

แม้ว่าคุณจะสามารถแก้ไขปัญหาเหล่านี้ได้ แต่คุณจะลืมออกแบบสคริปต์รอบตัวพวกเขาอย่างหลีกเลี่ยงไม่ได้ เราทุกคนทำในบางจุด สมาชิกในทีมของคุณอาจไม่ตระหนัก / จำไว้ว่านามแฝงนี้อยู่ในสถานที่ซึ่งจะสร้างปัญหาให้คุณเมื่อพวกเขาเขียนสคริปต์ที่ใช้นามแฝงของคุณ

aliasing sshจะssh -tเป็นอย่างมากกรณีที่คุณจะได้รับการละเมิดหลักการออกแบบของความประหลาดใจอย่างน้อย ; ผู้คนจะประสบกับปัญหาที่พวกเขาไม่คาดหวังและอาจไม่เข้าใจสิ่งที่ทำให้พวกเขา

อักขระเลี่ยง SSH และการถ่ายโอนไฟล์ไบนารี

ข้อดีอย่างหนึ่งที่ยังไม่ได้รับการกล่าวถึงในคำตอบอื่น ๆ ก็คือว่าเมื่อการดำเนินงานโดยไม่ต้องหลอกขั้ว , จุ๊ตัวหนีเช่น~Cจะได้รับการสนับสนุน ; สิ่งนี้ทำให้ปลอดภัยสำหรับโปรแกรมที่จะถ่ายโอนไฟล์ไบนารีซึ่งอาจมีลำดับเหล่านี้

พิสูจน์แนวคิด

คัดลอกไฟล์ไบนารีโดยใช้เทอร์มินัลหลอก:

$ ssh -t anthony@remote_host 'cat /usr/bin/free' > ~/free
Connection to remote_host closed.

คัดลอกไฟล์ไบนารีโดยไม่ใช้เทอร์มินัลหลอก:

$ ssh anthony@remote_host 'cat /usr/bin/free' > ~/free2

ไฟล์สองไฟล์ไม่เหมือนกัน:

$ diff ~/free*
Binary files /home/anthony/free and /home/anthony/free2 differ

สิ่งที่ถูกคัดลอกด้วยเทอร์มินัลเทียมหลอกเสียหาย:

$ chmod +x ~/free*
$ ./free
Segmentation fault

ในขณะที่คนอื่นไม่:

$ ./free2
             total       used       free     shared    buffers     cached
Mem:       2065496    1980876      84620          0      48264    1502444
-/+ buffers/cache:     430168    1635328
Swap:      4128760        112    4128648

ถ่ายโอนไฟล์ผ่าน SSH

สิ่งนี้สำคัญอย่างยิ่งสำหรับโปรแกรมเช่นscpหรือrsyncที่ใช้ SSH สำหรับการถ่ายโอนข้อมูล นี้อธิบายรายละเอียดของวิธีการทำงานของโปรโตคอล SCPอธิบายถึงวิธีการโพรโทคอ SCP ประกอบด้วยส่วนผสมของข้อความต้นฉบับเดิมโปรโตคอลและข้อมูลแฟ้มไบนารี

OpenSSH ช่วยปกป้องคุณจากตัวคุณเอง

เป็นที่น่าสังเกตว่าถึงแม้ว่า-tจะมีการใช้การตั้งค่าสถานะsshไคลเอนต์OpenSSH จะปฏิเสธที่จะจัดสรรเทอร์มินัลหลอกถ้าตรวจพบว่าstdinสตรีมไม่ใช่เทอร์มินัล:

$ echo testing | ssh -t anthony@remote_host 'echo $TERM'
Pseudo-terminal will not be allocated because stdin is not a terminal.
dumb

คุณยังสามารถบังคับให้ไคลเอ็นต์ OpenSSH จัดสรรเทอร์มินัลเทียมด้วย-tt:

$ echo testing | ssh -tt anthony@remote_host 'echo $TERM'
xterm

ไม่ว่าในกรณีใดมัน (สมเหตุสมผล) ไม่สนใจว่าจะถูกเปลี่ยนเส้นทางstdoutหรือstderr:

$ ssh -t anthony@remote_host 'echo $TERM' >| ssh_output
Connection to remote_host closed.

บนรีโมตโฮสต์เราต้องทำการตั้งค่านี้:

/etc/sudoers
...
Defaults requiretty

โดยไม่ต้อง sudo

$ ssh -T user@host echo -e 'foo\\nbar' | cat -e
foo$
bar$

และด้วย sudo

$ ssh -T user@host sudo echo -e 'foo\\nbar' | cat -e
sudo: sorry, you must have a tty to run sudo

ด้วย sudo เราได้รับผลตอบแทนพิเศษ

$ ssh -t user@host sudo echo -e 'foo\\nbar' | cat -e
foo^M$
      bar^M$
            Connection to localhost closed.

วิธีแก้ไขคือปิดการใช้งานการขึ้นบรรทัดใหม่แปลเป็น carline return-newlineด้วยstty -onlcr

$ ssh -t user@host stty -onlcr\; sudo echo -e 'foo\\nbar' | cat -e
foo$
    bar$
        Connection to localhost closed.

คิดถึงความเข้ากันได้แบบย้อนหลัง

โหมดหลัก 2 โหมดของ ssh คือการล็อกอินแบบโต้ตอบด้วย tty และระบุคำสั่งโดยไม่มี tty เนื่องจากเป็นความสามารถที่แน่นอนของrloginและrshตามลำดับ ssh ต้องการให้ superset of rlogin/ rshfeatures ประสบความสำเร็จแทน

ดังนั้นค่าเริ่มต้นจะถูกตัดสินก่อนที่จะเกิด SSH ชุดค่าผสมเช่น "ฉันต้องการระบุคำสั่งและรับ tty" ต้องเข้าถึงด้วยตัวเลือกใหม่ จะดีใจที่อย่างน้อยเราก็มีrshตัวเลือกว่าตอนนี้ไม่เหมือนเมื่อเราได้ใช้ เราไม่แลกเปลี่ยนคุณลักษณะที่มีประโยชน์ใด ๆ เพื่อรับการเชื่อมต่อที่เข้ารหัส เรามีคุณสมบัติโบนัส!

จากman ssh:

 -t      Force pseudo-tty allocation.  This can be used to execute arbi-
         trary screen-based programs on a remote machine, which can be
         very useful, e.g. when implementing menu services.  Multiple -t
         options force tty allocation, even if ssh has no local tty.

สิ่งนี้ช่วยให้คุณได้รับ "เชลล์" เรียงลำดับไปยังเซิร์ฟเวอร์ระยะไกล สำหรับเซิร์ฟเวอร์ที่ไม่ให้สิทธิ์การเข้าถึงเชลล์ แต่อนุญาตให้ใช้ SSH (เช่น Github เป็นตัวอย่างที่ทราบสำหรับการเข้าถึง SFTP) การใช้แฟล็กนี้จะทำให้เซิร์ฟเวอร์ปฏิเสธการเชื่อมต่อของคุณ

เชลล์ยังมีตัวแปรสภาพแวดล้อมทั้งหมดของคุณ (เช่น$PATH) ดังนั้นการเรียกใช้งานสคริปต์โดยทั่วไปจำเป็นต้องใช้ tty เพื่อทำงาน