リモートスクリプトがローカルシェルで実行されているのか、リモートシェルで実行されているのかを確認する方法はありますか？

Question

スクリプトの親プロセスpidのプロセス名が一致していることを確認できますsshd。

たとえば、スクリプトの最初の部分（この#!行のすぐ後ろが良い場所）です。

#!/bin/bash

if [ "$(ps h -o comm -p "$PPID")" != "sshd" ] ; then 
  echo "This script can only be run directly from ssh." > /dev/stderr
  exit 1
fi

これはbashの組み込みの読み取り専用変数「$ PPID」を使用します。これはbashのすべてのインスタンスで自動的に定義されます。

スクリプトへの読み取りアクセス権を持つ人は誰でもその行をコピーして削除できるので、これは意味がありません。これは、スクリプトがこれを実行するために使用する方法に関係なく適用されます。

さらに、プロセス名は簡単に偽造されます。sshdスクリプトを実行する前にプロセス名をに設定するラッパースクリプトを作成するのは簡単です。

他のユーザーがスクリプトを実行できるという懸念がある場合は、スクリプトの権限設定を検討しましたか？ただスクリプト所有者はスクリプトを読み取ったり実行したりできますか？（例えばchmod 700 /path/to/script）

Answer 1

スクリプトの親プロセスpidのプロセス名が一致していることを確認できますsshd。

たとえば、スクリプトの最初の部分（この#!行のすぐ後ろが良い場所）です。

#!/bin/bash

if [ "$(ps h -o comm -p "$PPID")" != "sshd" ] ; then 
  echo "This script can only be run directly from ssh." > /dev/stderr
  exit 1
fi

これはbashの組み込みの読み取り専用変数「$ PPID」を使用します。これはbashのすべてのインスタンスで自動的に定義されます。

スクリプトへの読み取りアクセス権を持つ人は誰でもその行をコピーして削除できるので、これは意味がありません。これは、スクリプトがこれを実行するために使用する方法に関係なく適用されます。

さらに、プロセス名は簡単に偽造されます。sshdスクリプトを実行する前にプロセス名をに設定するラッパースクリプトを作成するのは簡単です。

他のユーザーがスクリプトを実行できるという懸念がある場合は、スクリプトの権限設定を検討しましたか？ただスクリプト所有者はスクリプトを読み取ったり実行したりできますか？（例えばchmod 700 /path/to/script）

おすすめ記事