bash: Die Verwendung von scp im Cron-Job schlägt fehl, wird jedoch erfolgreich ausgeführt, wenn sie über die Befehlszeile ausgeführt wird

8

Ich versuche, scp in einem von cron ausgeführten Bash-Skript zu verwenden (ich führe dies unter Ubuntu 10.0.4 LTS aus).

Das Skript funktioniert einwandfrei (dh es überträgt und kopiert Datei1 und Datei2 auf den / vom Remote-Server, wenn ich es über die Befehlszeile ausführe. Wenn ich das Skript jedoch als Cron-Job ausführe, schlägt es fehl.

So sieht das Skript aus:

#!/bin/bash

cd /home/oompah/scripts/tests/
scp -P 12345 file1 oompah@someserver.com:~/uploads

if scp -P 12345 oompah@someserver.com:/path/to/file2.dat local.dat >&/dev/null ; then 
    echo "INFO: transfer OK" ; 
else 
    echo "ERROR: transfer failed" ; 
fi

Die Fehlermeldung, die ich erhalte (in eine Protokolldatei umgeleitet), wenn ich sie als Cron-Job ausführe, lautet:

ERROR: transfer failed

Die Fehlermeldung, die ich an meinen Posteingang erhalte, lautet:

Permission denied (publickey).
lost connection

Warum passiert das und wie kann ich es beheben?

[Bearbeiten]

Ich habe den ersten scp-Befehl mit einem -i-Befehl geändert (wie von M Jenkins vorgeschlagen). Außerdem habe ich -v für Debug-Nachrichten hinzugefügt. Hier ist das vollständige Debug-Nachrichtenprotokoll. Hoffentlich kann es etwas Licht ins Dunkel bringen, was los ist:

Executing: program /usr/bin/ssh host 12.34.56.78, user oompah, command scp -v -t ~/uploads
OpenSSH_5.3p1 Debian-3ubuntu6, OpenSSL 0.9.8k 25 Mar 2009
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to 12.34.56.78 [12.34.56.78] port 12345.
debug1: Connection established.
debug1: identity file /home/oompah/.ssh/id_rsa type 1
debug1: Checking blacklist file /usr/share/ssh/blacklist.RSA-2048
debug1: Checking blacklist file /etc/ssh/blacklist.RSA-2048
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3p1 Debian-3ubuntu3
debug1: match: OpenSSH_5.3p1 Debian-3ubuntu3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.3p1 Debian-3ubuntu6
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '[12.34.56.78]:12345' is known and matches the RSA host key.
debug1: Found key in /home/oompah/.ssh/known_hosts:3
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey
debug1: Next authentication method: publickey
debug1: Offering public key: /home/oompah/.ssh/id_rsa
debug1: Server accepts key: pkalg ssh-rsa blen 277
debug1: PEM_read_PrivateKey failed
debug1: read PEM private key done: type <unknown>
debug1: read_passphrase: can't open /dev/tty: No such device or address
debug1: No more authentication methods to try.
Permission denied (publickey).
lost connection
Permission denied (publickey).
ubuntu bash ssh cron scp oompahloompah
quelle
3
Welche Ausgabe erhalten Sie, wenn Sie stdout und stderr nicht nach / dev / null umleiten?
BMK
@bmk: Ohne die stdout-Umleitung erhalte ich folgende Meldungen: Berechtigung verweigert (publickey). Verbindungsverlust Berechtigung verweigert (publickey).
Oompahloompah
Vorschlag: Verwerfen Sie stderr in solchen Skripten niemals. Dies ist nützlicher als eine einzelne "ERROR" -Nachricht.
user1686
1
könnte es sein, dass a.) Sie einen Agenten verwenden, wenn Sie den Befehl interaktiv ausführen, b.) Sie ihn als einen anderen Benutzer ohne eigenes Schlüsselpaar (oder Basisordner) ausführen oder c.) dass die autorisierten_Tasten auf dem Ziel die Quelle des Befehls einschränken Verbindung ...?
0xC0000022L

Antworten:

7

Meine Vermutung:

Sie haben ein passwortgeschütztes SSH-Schlüsselpaar, das beim Anmelden automatisch vom GNOME-Schlüsselring geladen wird. Hat cronjedoch keinen Zugriff auf den Schlüsselbund und sshkann auch kein Passwort anfordern (mangels eines tty).

So zitieren sshSie das hinzugefügte Protokoll:

debug1: Öffentlichen Schlüssel anbieten: /home/oompah/.ssh/id_rsa
debug1: Server akzeptiert Schlüssel: pkalg ssh-rsa blen 277
debug1: PEM_ read_PrivateKey fehlgeschlagen
debug1: PEM lesen privater Schlüssel erledigt: Typ
debug1: read_passphrase: kann nicht geöffnet werden / dev / tty : Kein solches Gerät oder Adresse

user1686
quelle
@grawity: Danke für die Information. Wie behebe ich das Problem?
Oompahloompah
@oompah: Entfernen Sie das Passwort von Ihrem Schlüsselpaar. (Wenn Sie möchten, können Sie eine zweite rein für den automatisierten Gebrauch erstellen und geben scp -i.)
user1686
@grawity: Danke für das Feedback. Es ist mir unangenehm, ein Passwort von meinem Schlüsselpaar zu entfernen (ich würde auf keinen Fall wissen, wie das geht). Sie erwähnen das Erstellen eines "zweiten" - vermutlich meinen Sie ein zweites Schlüsselpaar - aber dieses ohne Passwort - damit ich es für automatisierte Anmeldungen verwenden kann. Übrigens, meinst du PASSPHRASE, wenn du Passwort sagst?
Oompahloompah
@oompah: Wenn Ihr CentOS-Computer physisch sicher ist, ist es in Ordnung. Der zweite Schlüsselpaarvorschlag ist wahrscheinlich nur dann nützlich, wenn Sie auf vielen Systemen das primäre Schlüsselpaar haben. (OpenSSH nennt es "Passphrase", aber nicht viele Leute verwenden tatsächlich eine ganze Phrase für ihre Schlüssel.)
user1686
Ich habe es endlich zum Laufen gebracht, nachdem ich viel mit Schlüsselbund usw. herumgeschraubt hatte. Am Ende habe ich mich für Ihren Vorschlag entschieden, ein passwortloses Schlüsselpaar für cron zu erstellen und dieses im Shell-Skript an scp zu übergeben. Es sollte eigentlich nicht so schwer sein ... SMH
oompahloompah
3

Es hört sich so an, als würde scp Ihr ​​öffentliches / privates Schlüsselpaar nicht aus Ihrem ~ / .ssh-Verzeichnis abrufen.

Versuchen Sie es hinzuzufügen 

HOME=/home/oompah

in den oberen Bereich Ihrer Crontab-Datei (dies sollte ohnehin schon automatisch eingestellt werden)

Sie können auch versuchen, hinzuzufügen

echo "DEBUG: My home dir is $HOME"

in Ihr Skript, um sicherzustellen, dass es den richtigen Wert erhält.

Eine andere Option besteht darin, den Parameter -i für scp anzugeben, um die Verwendung eines bestimmten Schlüsselpaars zu erzwingen:

scp -i /home/oompah/.ssh/id_rsa ...

zum Beispiel.

Majenko
quelle
Ich habe versucht, Sie vorzuschlagen (mit der Option -i). Bitte sehen Sie meine aktualisierte Frage
oompahloompah
3

Als welcher Benutzer läuft cron? Es sieht so aus, als hätte der Benutzer keinen Zugriff auf Ihren öffentlichen Schlüssel.

Quantikel
quelle
0

Obwohl dies in diesem Fall nicht das Problem ist, interpretiert cron das Prozentzeichen ( %) als Zeilenumbruchzeichen, sodass es maskiert werden muss ( \%), oder Sie erhalten einen halben Befehl, der sich fragt, warum cron einfach nichts tut (obwohl es sich beschwert) im Syslog).

Dies kann zu Problemen führen, wenn Sie mit /bin/dateIhrem Crontab arbeiten.

Michael Trojanek
quelle