Jaka jest korzyść z nieprzydzielenia terminala w ssh?

Co jakiś czas robię coś takiego

ssh user@host sudo thing

i przypomina mi się, że ssh domyślnie nie przydziela pseudo-tty. Dlaczego nie Jakie korzyści będę tracić gdybym aliasem sshdo ssh -t?

Podstawową różnicą jest koncepcja interaktywności . Jest to podobne do uruchamiania poleceń lokalnie w skrypcie, w przeciwieństwie do samodzielnego wpisywania ich. Różni się tym, że komenda zdalna musi wybrać domyślną, a nieinteraktywna jest najbezpieczniejsza. (i zazwyczaj najbardziej uczciwy)

STDIN

• Jeśli przydzielono PTY, aplikacje mogą to wykryć i wiedzieć, że można bezpiecznie poprosić użytkownika o dodatkowe dane wejściowe bez niszczenia elementów. Istnieje wiele programów, które pomijają etap monitowania użytkownika o wprowadzenie danych, jeśli nie ma terminalu, i to dobrze. W przeciwnym razie skrypty zawieszałyby się niepotrzebnie.
• Twoje dane wejściowe zostaną przesłane do zdalnego serwera na czas trwania polecenia. Obejmuje to sekwencje kontrolne. Podczas gdy Ctrl-cnormalnie przerwa spowodowałaby natychmiastowe przerwanie pętli polecenia ssh, sekwencje kontrolne zostaną zamiast tego wysłane na zdalny serwer. Powoduje to konieczność „uderzenia” klawisza, aby upewnić się, że dotrze on, gdy sterowanie opuści polecenie ssh, ale przed rozpoczęciem następnego polecenia ssh.

ssh -tPrzestrzegałbym przed użyciem w nienadzorowanych skryptach, takich jak crons. Nieinteraktywna powłoka pytająca zdalne polecenie, aby zachowywała się interaktywnie podczas wprowadzania, prosi o wszelkiego rodzaju problemy.

Możesz także przetestować obecność terminala we własnych skryptach powłoki. Aby przetestować STDIN z nowszymi wersjami bash:

# fd 0 is STDIN
[ -t 0 ]; echo $?

STDOUT

• W przypadku aliasu sshdo ssh -tmożesz oczekiwać dodatkowego zwrotu karetki na końcach linii. To może nie być dla ciebie widoczne, ale jest tam; pokaże się jak ^Mpo przesłaniu do cat -e. Następnie musisz poświęcić dodatkowy wysiłek, aby upewnić się, że ten kod kontrolny nie zostanie przypisany do zmiennych, szczególnie jeśli zamierzasz wstawić dane wyjściowe do bazy danych.
• Istnieje również ryzyko, że programy założą, że mogą renderować dane wyjściowe, które nie są przyjazne dla przekierowania plików. Zwykle jeśli przekierujesz STDOUT do pliku, program rozpozna, że ​​twój STDOUT nie jest terminalem i pominie wszelkie kody kolorów. Jeśli przekierowanie STDOUT pochodzi z danych wyjściowych klienta ssh, a PTY jest powiązany ze zdalnym końcem klienta, programy zdalne nie mogą wprowadzić takiego rozróżnienia, a skończysz na śmieciach końcowych w pliku wyjściowym. Przekierowanie wyjścia do pliku na zdalnym końcu połączenia powinno nadal działać zgodnie z oczekiwaniami.

Oto ten sam test bash, co wcześniej, ale dla STDOUT:

# fd 1 is STDOUT
[ -t 1 ]; echo $?

Chociaż można obejść te problemy, nieuchronnie zapomnisz zaprojektować wokół nich skrypty. W pewnym momencie wszyscy to robimy. Członkowie zespołu mogą nie zdawać sobie sprawy / pamiętać, że ten alias jest na swoim miejscu, co z kolei powodować problemy dla Ciebie, kiedy oni pisać skrypty, które wykorzystują swój alias.

Aliasing sshdo ssh -tjest bardzo przypadkiem, w którym będziesz naruszał zasadę najmniejszego zaskoczenia ; ludzie będą mieli problemy, których się nie spodziewają i mogą nie rozumieć, co ich powoduje.

Znaki specjalne SSH i przesyłanie plików binarnych

Jedną z zalet, o której nie wspomniano w innych odpowiedziach, jest to, że podczas działania bez pseudoterminalu znaki specjalne SSH, takie jak nie~C są obsługiwane ; dzięki temu programy mogą bezpiecznie przesyłać pliki binarne, które mogą zawierać te sekwencje.

Dowód koncepcji

Skopiuj plik binarny za pomocą pseudo-terminala:

$ ssh -t anthony@remote_host 'cat /usr/bin/free' > ~/free
Connection to remote_host closed.

Skopiuj plik binarny bez użycia pseudo-terminala:

$ ssh anthony@remote_host 'cat /usr/bin/free' > ~/free2

Dwa pliki nie są takie same:

$ diff ~/free*
Binary files /home/anthony/free and /home/anthony/free2 differ

Ten, który został skopiowany z pseudo-terminalem, jest uszkodzony:

$ chmod +x ~/free*
$ ./free
Segmentation fault

podczas gdy drugi nie jest:

$ ./free2
             total       used       free     shared    buffers     cached
Mem:       2065496    1980876      84620          0      48264    1502444
-/+ buffers/cache:     430168    1635328
Swap:      4128760        112    4128648

Przesyłanie plików przez SSH

Jest to szczególnie ważne w przypadku programów takich jak scplub rsyncwykorzystujących SSH do przesyłania danych. Ten szczegółowy opis działania protokołu SCP wyjaśnia, w jaki sposób protokół SCP składa się z mieszanki komunikatów protokołu tekstowego i danych pliku binarnego.

OpenSSH pomaga chronić cię przed sobą

Warto zauważyć, że nawet jeśli -tużywana jest flaga, sshklient OpenSSH odmówi przydzielenia pseudo-terminala, jeśli wykryje, że jego stdinstrumień nie jest terminalem:

$ echo testing | ssh -t anthony@remote_host 'echo $TERM'
Pseudo-terminal will not be allocated because stdin is not a terminal.
dumb

Nadal możesz zmusić klienta OpenSSH do przydzielenia pseudo-terminala za pomocą -tt:

$ echo testing | ssh -tt anthony@remote_host 'echo $TERM'
xterm

W obu przypadkach (rozsądnie) nie ma znaczenia, stdoutczy nastąpi stderrprzekierowanie:

$ ssh -t anthony@remote_host 'echo $TERM' >| ssh_output
Connection to remote_host closed.

Na zdalnym hoście mamy do czynienia z tym ustawieniem:

/etc/sudoers
...
Defaults requiretty

Bez sudo

$ ssh -T user@host echo -e 'foo\\nbar' | cat -e
foo$
bar$

I z sudo

$ ssh -T user@host sudo echo -e 'foo\\nbar' | cat -e
sudo: sorry, you must have a tty to run sudo

Dzięki sudo otrzymujemy dodatkowy zwrot karetki

$ ssh -t user@host sudo echo -e 'foo\\nbar' | cat -e
foo^M$
      bar^M$
            Connection to localhost closed.

Rozwiązaniem jest wyłączenie translacji nowej linii na znak powrotu nowej linii za pomocąstty -onlcr

$ ssh -t user@host stty -onlcr\; sudo echo -e 'foo\\nbar' | cat -e
foo$
    bar$
        Connection to localhost closed.

Pomyśl o kompatybilności wstecznej.

W 2 podstawowe tryby ssh są interaktywne-login z terminala, a określony, polecenie bez tty, ponieważ to były dokładne możliwości rlogini rshodpowiednio. ssh potrzebował dostarczyć superset funkcji rlogin/, rshaby odnieść sukces jako zamiennik.

Tak więc domyślne zostały ustalone przed narodzinami ssh. Kombinacje takie jak „Chcę podać polecenie i uzyskać tty” musiały być dostępne z nowymi opcjami. Ciesz się, że przynajmniej teraz mamy tę opcję, w przeciwieństwie do tego, kiedy korzystaliśmy rsh. Nie wymieniliśmy żadnych przydatnych funkcji, aby uzyskać szyfrowane połączenia. Mamy dodatkowe funkcje!

Od man ssh:

 -t      Force pseudo-tty allocation.  This can be used to execute arbi-
         trary screen-based programs on a remote machine, which can be
         very useful, e.g. when implementing menu services.  Multiple -t
         options force tty allocation, even if ssh has no local tty.

Pozwala to uzyskać „powłokę” na zdalnym serwerze. W przypadku serwerów, które nie udzielają dostępu do powłoki, ale zezwalają na SSH (tj. Github jest znanym przykładem dostępu SFTP), użycie tej flagi spowoduje, że serwer odrzuci twoje połączenie.

Powłoka ma również wszystkie zmienne środowiskowe (np. $PATH), Więc wykonywanie skryptów zazwyczaj wymaga tty do pracy.