我在man sshd 上读到过,当用户使用特定密钥登录时,可以添加登录后处理:
environment="FOO=BAR" ssh-rsa AAA... keytag
但是当我尝试 ssh 进入系统时,目标主机没有注册该线路,而是要求输入密码。添加这个的正确方法是什么?我想做类似的事情
command="echo|mail -s ${USER},${HOSTNAME} a.monitored.email@example.com" ssh-rsa AAA... keytag
我正在使用 Suse SLE 11 SP2。
谢谢 饭菜
【问题讨论】:
标签: sshd
首先根据documentationcommand = "command":
指定每当此密钥用于身份验证时执行命令。 用户提供的命令(如果有)将被忽略。如果客户端请求 pty,则该命令在 pty 上运行;否则它在没有 tty 的情况下运行。如果需要 8 位清洁通道,则不得请求 pty 或指定 no-pty 应该。引号 可以通过用反斜杠引用命令来包含在命令中。此选项可能有助于限制某些公钥仅执行特定操作。一个示例可能是允许远程备份的密钥,但仅此而已。请注意,可以明确指定客户端 TCP 和/或 X11 转发,除非它们被禁止。最初由客户端提供的命令在 SSH_ORIGINAL_COMMAND 环境变量中可用。请注意,此选项适用于 shell、命令或子系统执行。另请注意此命令可能会被 sshd_config (5) ForceCommand 指令或嵌入在证书中的命令所取代。
使用此选项,当此密钥用于身份验证而不用于其他身份验证时,可以强制执行给定命令。这不是您要查找的内容。
要在登录后运行命令,您可以在文件 ~/bashrc 中添加如下内容:
if [[ -n $SSH_CONNECTION ]] ; then
echo|mail -s ${USER},${HOSTNAME} a.monitored.email@example.com"
fi
其次,需要验证authorized_keys文件及其所在文件夹/父文件夹的权限。
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys
欲了解更多信息,请参阅:https://www.complang.tuwien.ac.at/doc/openssh-server/faq.html#3.14
【讨论】: