Есть ли способ определить, был ли запущен удаленный сценарий из локальной или удаленной оболочки?

Довольно плохой способ сделать это с низким -разрешением — проверить наличие переменных сеанса SSH:

SSH_CLIENT='10.10.11.11 48052 22'
SSH_CONNECTION='10.10.11.11 48052 10.20.30.40 22'
SSH_TTY=/dev/pts/2

Однако ненадежный пользователь на удаленной машине может легко подделать такие переменные, а затем запустить скрипт.

Лучший способ, который я могу придумать, чтобы гарантировать, что сценарий не может быть запущен в собственной оболочке на удаленной машине, — это не хранить сценарий на удаленной машине. Вместо этого сохраните его локально на машине, с которой выssh-загружаете :

ssh user@host bash < /local/path/to/script.sh

Вы можете проверить, совпадает ли имя процесса родительского pid скрипта sshd.

напр. где-то в начале сценария (сразу после строки #!— хорошее место):

#!/bin/bash

if [ "$(ps h -o comm -p "$PPID")" != "sshd" ] ; then 
  echo "This script can only be run directly from ssh." > /dev/stderr
  exit 1
fi

Здесь используется встроенная в bash -переменная "$PPID", доступная только для чтения. Он автоматически определяется в каждом экземпляре bash.

Обратите внимание, что это бессмысленно, потому что любой, у кого есть доступ для чтения к скрипту, может просто скопировать его и удалить эти несколько строк. То же самое будет верно независимо от того, какой метод использует скрипт для этой попытки.

Кроме того, имена процессов легко подделываются. Было бы легко написать скрипт-оболочку, который перед запуском скрипта задавал бы имя процесса sshd.

Если вы обеспокоены тем, что другие пользователи могут запускать ваш сценарий, рассматривали ли вы возможность установить разрешения для сценария таким образом, чтобы только владелец сценария мог читать или выполнять его? (напр.chmod 700 /path/to/script)