Pass-through บัญชีเข้าสู่ระบบผ่าน WinSCP [ซ้ำ]

คำถามนี้มีคำตอบอยู่ที่นี่แล้ว:

จะเปลี่ยนผู้ใช้ใน WinSCP ได้อย่างไร? 2 คำตอบ

ฉันมีเซิร์ฟเวอร์ Linux ที่เมื่อฉันเชื่อมต่อด้วยPuTTYอันดับแรกฉันต้องเข้าสู่ระบบโดยใช้บัญชีที่ไม่ใช่รูท (สมมุติว่าuser1) จากนั้นออกคำสั่งsu rootหรือsu - rootเข้าสู่rootบัญชี ฉันไม่สามารถเข้าสู่rootบัญชีได้โดยตรงเนื่องจากการเข้าถึงโดยตรงดังกล่าวถูกปิดกั้นด้วยเหตุผลด้านความปลอดภัย

ฉันต้องการทราบว่าการติดตั้งดังกล่าวสามารถทำได้ในWinSCPซึ่งเป็นตัวจัดการไฟล์ GUI สำหรับเซิร์ฟเวอร์ Unix / Linux ฉันได้ลองใช้การแชนเนลไปยังที่อยู่ IP เดียวกัน แต่ไม่สามารถใช้งานได้เนื่องจากฉันเชื่อว่านี่เป็นความพยายามในการลงชื่อเข้าใช้ "โดยตรง" ไปยังrootบัญชีผ่านทางการเชื่อมต่อทันเนลที่สร้างขึ้นโดยใช้user1บัญชี การตั้งค่า Shell เป็นsudo su -ไม่ทำงาน

ฉันจะให้WinSCPเลียนแบบการเข้าสู่ระบบsu rootหรือsu - rootโดยอ้อมได้ในPuTTY ได้อย่างไร

— ADTC
แหล่งที่มา

บางทีหน้านี้จะช่วยwinscp.net/eng/docs/faq_su

— masegaloeh

พยายามไม่ทำงานหรือไม่แน่ใจว่าฉันทำถูกต้องหรือไม่

— ADTC

คำถามที่พบบ่อยที่แนะนำโดย @masegaloeh เป็นเพียงตัวเลือกเดียวของคุณ ดังนั้นหากมันใช้งานไม่ได้คุณจะต้องแชร์รายละเอียดเพิ่มเติมกับเรา [ข้อความผิดพลาดบันทึก WinSCP บันทึกเซิร์ฟเวอร์หรืออะไรก็ได้] วิธีที่ดีที่สุดคือถ้าคุณเริ่มคำถามใหม่เกี่ยวกับปัญหาเฉพาะของคุณ

— Martin Prikryl

ส่วนแรกของการแก้ปัญหาคำถามที่พบบ่อยไม่ทำงานตามที่ฉันเชื่อsudo -sหรือตัวเลือก Shell ที่ "ทำงาน" เพียงแค่เตะฉันกลับไปที่หน้าต่างเข้าสู่ระบบ (อาจเป็นเพราะรหัสผ่านที่ต้องการ) สำหรับส่วนที่สองฉันไม่สามารถเปลี่ยนแปลงsudoersไฟล์บนเซิร์ฟเวอร์ได้เนื่องจากจะเป็นการละเมิดโปรโตคอลความปลอดภัยของเรา ดังนั้นฉันเดาว่าฉันทำไม่สำเร็จหากไม่ทำการเปลี่ยนแปลงฝั่งเซิร์ฟเวอร์

— ADTC

คำตอบ:

ก่อนอื่นให้อนุญาตให้คุณsudo suรูทจากผู้ใช้ที่ไม่ใช่รูทคุณจะเข้าสู่ระบบโดยเพิ่มบรรทัดดังนี้:

username ALL=NOPASSWD: ALL

หรือ(เพื่อความปลอดภัยที่ดีกว่า) :

username ALL=NOPASSWD: /bin/sftp-server

ไปที่/etc/sudoersไฟล์

จากนั้นใช้ WinSCP กับโปรโตคอลไฟล์เซสชันเป็น SCP ในการตั้งค่าเลือกสภาพแวดล้อม | SCP / sudo su -เชลล์และจากนั้นเลือกเปลือกเป็น

ฉันรู้ว่าคุณพูดแล้วว่าคุณได้ลองแล้วsudo su -แต่มันจะใช้งานได้ก็ต่อเมื่อคุณเพิ่มบรรทัดลงในsudoersไฟล์ ฉันยืนยันสิ่งนี้บนเซิร์ฟเวอร์ของฉันซึ่งไม่มีการเข้าสู่ระบบผ่านทางรูท SSH และมันใช้ได้ดี

ฉันสามารถใช้ GUI เพื่อคัดลอกไฟล์จาก root ที่0600(เป็นของ root) และฉันสามารถเขียนไปยังไดเรกทอรีรากได้ Plus ถ้าผมเปิดหน้าต่าง terminal จาก WinSCP และทำมันแสดงให้เห็นว่าฉันเป็นidroot

สิ่งนี้ใช้ได้กับ SCP เป็นโปรโตคอลไฟล์เท่านั้น ฉันไม่สามารถทำงานกับ SFTP ใน WinSCP ได้

— sdjuan
แหล่งที่มา

ไม่แน่ใจ 100% แต่จะไม่อนุญาตให้ทุกคนเชื่อมต่อโดยใช้เชลล์นั้นซึ่งอาจเป็นปัญหาในกรณีที่รหัสผ่านรูทอ่อนแอ (หรือไม่มีเลย)

— มาริโอ

คุณมีวิธีแก้ไข แต่ต้องการการเปลี่ยนแปลงฝั่งเซิร์ฟเวอร์ (โปรดดูความคิดเห็นเกี่ยวกับคำถามและคำตอบอื่น ๆ ) เนื่องจากฉันไม่สามารถเปลี่ยนแปลงฝั่งเซิร์ฟเวอร์ที่กระทบต่อความปลอดภัยฉันจึงไม่สามารถใช้คำตอบของคุณได้ อย่างไรก็ตามเนื่องจากคุณใช้เวลาในการตอบคำถามโดยละเอียดซึ่งอาจช่วยคนอื่นด้วยปัญหาเดียวกันและได้รับอนุญาตให้ทำการเปลี่ยนแปลงฝั่งเซิร์ฟเวอร์เพื่อแก้ไขปัญหาฉันจะยอมรับคำตอบของคุณ BTWโปรดปรับปรุงคำตอบของคุณโดยเปลี่ยนเป็นเพื่อusername ALL=NOPASSWD: /bin/sftp-serverความปลอดภัยที่ดีขึ้น

— ADTC

ขอบคุณ ดูเหมือนว่าแม้ว่าคุณจะสามารถ sudo su เพื่อดำเนินการกับรูทซึ่ง 'อาจ' รวมถึงการแก้ไขไฟล์ sudoers เพื่ออนุญาตให้ su passwordless รูทว่านโยบายภายนอกบางอย่างทำให้คุณไม่สามารถทำเช่นนั้นได้ ขอขอบคุณสำหรับการปรับปรุงคำแนะนำด้านความปลอดภัย

— sdjuan

@mario จะอนุญาตเฉพาะผู้ใช้ที่ระบุเพื่อเชื่อมต่อโดยใช้เซสชัน shell / winscp ฉันใช้วิธีการที่คล้ายกัน แต่บังคับให้ใช้การรับรองความถูกต้องของคีย์เท่านั้นด้วยรหัสผ่านที่รัดกุมมากสำหรับคีย์ดังนั้นแม้ว่าคีย์จะถูกขโมย แต่ก็ค่อนข้างปลอดภัย (ไม่มีอะไรสมบูรณ์แบบ)

— sdjuan

ข้อควรระวังในการเพิ่มความปลอดภัย / bin / sftp- เซิร์ฟเวอร์ที่อาจขึ้นอยู่กับการกระจาย เซิร์ฟเวอร์ของเรากำลังเรียกใช้ gentoo และไม่ได้ใช้สิ่งนั้น อย่างไรก็ตามการ จำกัด สิทธิ์ให้น้อยที่สุดเป็นความคิดที่ดีเสมอ

— sdjuan

อาจไม่ใช่สิ่งที่คุณต้องการ แต่คุณสามารถเพิ่มคำสั่งที่คุณต้องการเรียกใช้ (เช่น: sudo su -) ในไฟล์. bash_profile ของคุณเพื่อให้สามารถดำเนินการได้ทันทีที่คุณเข้าสู่ระบบ

โปรดทราบว่าการยกระดับตัวเองโดยอัตโนมัติเพื่อทำลายความตั้งใจที่ทำให้คุณคิดว่ามันจะหยุดคุณจากการทำสิ่งที่อันตรายโดยไม่ได้ตั้งใจ

— Linker3000
แหล่งที่มา

ไม่ฉันไม่สามารถเปลี่ยนแปลงเซิร์ฟเวอร์เพื่อแก้ไขปัญหานี้ได้ มันจะต้องประสบความสำเร็จผ่านการกำหนดค่า WinSCP นอกจากนี้ฉันเข้าใจความกังวล แต่ในกรณีของฉันจำเป็นต้องยกระดับราก สิ่งที่ฉันต้องการจะทำคือบรรลุใน WinSCP (ฉันสามารถบรรลุได้ใน PuTTY)

— ADTC

@ADTC ด้วยการตั้งค่า SSH มาตรฐานคุณอาจไม่สามารถsuรูทด้วย WinSCP ได้ คุณเกือบทุกครั้งต้องทำการตั้งค่าบางอย่างที่ฝั่งเซิร์ฟเวอร์ อีกครั้งดูคำถามที่พบบ่อยในความคิดเห็นคำถามของคุณ

— Martin Prikryl