В чем выгода не выделения терминала в ssh?

Время от времени я буду делать что-то вроде

ssh user@host sudo thing

и мне напомнили, что ssh по умолчанию не выделяет псевдо-tty. Почему не так? Какие преимущества я бы потерять , если я псевдонимами , sshчтобы ssh -t?

Основным отличием является концепция интерактивности . Это похоже на локальный запуск команд внутри скрипта, а не на их ввод самостоятельно. Разница заключается в том, что удаленная команда должна выбрать значение по умолчанию, а неинтерактивный - самый безопасный. (и обычно самый честный)

STDIN

• Если PTY выделен, приложения могут обнаружить это и знать, что безопасно запрашивать у пользователя дополнительный ввод, не ломая вещи. Есть много программ, которые пропускают этап запроса пользователя для ввода, если нет терминала, и это хорошо. В противном случае скрипты будут зависать без необходимости.
• Ваш ввод будет отправлен на удаленный сервер на время выполнения команды. Это включает в себя контрольные последовательности. Хотя Ctrl-cпрерывание обычно приводит к немедленному прерыванию цикла в команде ssh, ваши управляющие последовательности вместо этого будут отправляться на удаленный сервер. Это приводит к необходимости «забивать» нажатие клавиши, чтобы гарантировать, что оно прибывает, когда управление покидает команду ssh, но до начала следующей команды ssh.

Я бы предостерег от использования ssh -tв необслуживаемых сценариях, таких как crons. Неинтерактивная оболочка, требующая от удаленной команды интерактивного поведения для ввода, вызывает все виды проблем.

Вы также можете проверить наличие терминала в ваших собственных скриптах оболочки. Чтобы протестировать STDIN с более новыми версиями bash:

# fd 0 is STDIN
[ -t 0 ]; echo $?

STDOUT

• Когда альясинг sshк ssh -t, вы можете ожидать , чтобы получить дополнительный возврат каретки в концах вашей линии. Возможно, он не виден вам, но он есть; это будет отображаться как ^Mпри передаче cat -e. Затем вы должны приложить дополнительные усилия, чтобы гарантировать, что этот управляющий код не будет назначен вашим переменным, особенно если вы собираетесь вставить этот вывод в базу данных.
• Существует также риск того, что программы будут предполагать, что они могут отображать выходные данные, которые не подходят для перенаправления файлов. Обычно, если вы перенаправляете STDOUT в файл, программа распознает, что ваш STDOUT не является терминалом, и пропускает любые цветовые коды. Если перенаправление STDOUT происходит с выхода клиента ssh, а с удаленным концом клиента связан PTY, удаленные программы не смогут сделать такое различие, и вы получите терминальный мусор в выходном файле. Перенаправление вывода в файл на удаленном конце соединения должно по-прежнему работать должным образом.

Вот тот же тест bash, что и ранее, но для STDOUT:

# fd 1 is STDOUT
[ -t 1 ]; echo $?

Хотя можно обойти эти проблемы, вы неизбежно забудете разработать сценарии вокруг них. Все мы делаем в какой-то момент. Члены вашей команды могут также не понимают / помнить , что этот псевдоним на месте, что в свою очередь создает проблемы для вас , когда они пишут сценарии , которые используют свой псевдоним.

Псевдоним очень похож sshна ssh -tтот случай, когда вы нарушите принцип дизайна наименьшего удивления ; люди будут сталкиваться с проблемами, которых они не ожидают, и могут не понимать, что их вызывает.

Escape-символы SSH и передача двоичных файлов

Одно преимущество, которое не было упомянуто в других ответах, состоит в том, что при работе без псевдотерминала экранирующие символы SSH, такие как ~C, не поддерживаются ; это позволяет программам безопасно передавать двоичные файлы, которые могут содержать эти последовательности.

Доказательство концепции

Скопируйте двоичный файл, используя псевдо-терминал:

$ ssh -t anthony@remote_host 'cat /usr/bin/free' > ~/free
Connection to remote_host closed.

Скопируйте бинарный файл без использования псевдо-терминала:

$ ssh anthony@remote_host 'cat /usr/bin/free' > ~/free2

Два файла не совпадают:

$ diff ~/free*
Binary files /home/anthony/free and /home/anthony/free2 differ

Тот, который был скопирован с псевдо-терминалом, поврежден:

$ chmod +x ~/free*
$ ./free
Segmentation fault

в то время как другой нет:

$ ./free2
             total       used       free     shared    buffers     cached
Mem:       2065496    1980876      84620          0      48264    1502444
-/+ buffers/cache:     430168    1635328
Swap:      4128760        112    4128648

Передача файлов по SSH

Это особенно важно для программ, таких как scpили rsyncкоторые используют SSH для передачи данных. Это подробное описание того, как работает протокол SCP, объясняет, как протокол SCP состоит из смеси текстовых сообщений протокола и данных двоичного файла.

OpenSSH помогает защитить вас от себя

Стоит отметить, что даже если этот -tфлаг используется, sshклиент OpenSSH откажется выделять псевдо-терминал, если обнаружит, что его stdinпоток не является терминалом:

$ echo testing | ssh -t anthony@remote_host 'echo $TERM'
Pseudo-terminal will not be allocated because stdin is not a terminal.
dumb

Вы по-прежнему можете заставить клиента OpenSSH выделить псевдо-терминал с помощью -tt:

$ echo testing | ssh -tt anthony@remote_host 'echo $TERM'
xterm

В любом случае, это (разумно) не волнует, если stdoutили stderrперенаправлены:

$ ssh -t anthony@remote_host 'echo $TERM' >| ssh_output
Connection to remote_host closed.

На удаленном хосте мы имеем дело с этим параметром:

/etc/sudoers
...
Defaults requiretty

Без судо

$ ssh -T user@host echo -e 'foo\\nbar' | cat -e
foo$
bar$

И с судо

$ ssh -T user@host sudo echo -e 'foo\\nbar' | cat -e
sudo: sorry, you must have a tty to run sudo

С sudo мы получаем дополнительный возврат каретки

$ ssh -t user@host sudo echo -e 'foo\\nbar' | cat -e
foo^M$
      bar^M$
            Connection to localhost closed.

Решение состоит в том, чтобы отключить перевод новой строки для возврата каретки-новой строки с помощьюstty -onlcr

$ ssh -t user@host stty -onlcr\; sudo echo -e 'foo\\nbar' | cat -e
foo$
    bar$
        Connection to localhost closed.

Подумайте о обратной совместимости.

2 основных режима ssh: интерактивный вход в систему с tty и указанная команда без tty, потому что это были точные возможности rloginи rshсоответственно. ssh необходимо было предоставить расширенный набор функций rlogin/ rshдля успешной замены.

Таким образом, значения по умолчанию были определены до рождения ssh. Комбинации типа «Я хочу указать команду и получить tty» должны были быть доступны с новыми опциями. Радуйтесь , что по крайней мере у нас есть этот вариант сейчас, в отличие от , когда мы использовали rsh. Мы не обменяли никаких полезных функций на получение зашифрованных соединений. Мы получили бонусы!

От man ssh:

 -t      Force pseudo-tty allocation.  This can be used to execute arbi-
         trary screen-based programs on a remote machine, which can be
         very useful, e.g. when implementing menu services.  Multiple -t
         options force tty allocation, even if ssh has no local tty.

Это позволяет вам получить своего рода «оболочку» на удаленном сервере. Для серверов, которые не предоставляют доступ к оболочке, но разрешают SSH (т. Е. Github является известным примером доступа к SFTP), использование этого флага приведет к тому, что сервер отклонит ваше соединение.

В оболочке также есть все ваши переменные окружения (например $PATH), поэтому для выполнения сценариев обычно требуется tty.