Kandu.dk - debian -> rsync -< redhat 8


/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Linux

#	Navn	Point
1	o.v.n.	11177
2	peque	7911
3	dk	4814
4	e.c	2359
5	Uranus	1334
6	emesen	1334
7	stone47	1307
8	linuxrules	1214
9	Octon	1100
10	BjarneD	875

debian -> rsync -< redhat 8
Fra : Claus Derlien

Dato : 10-01-05 15:17

Jeg har nogen filer jeg gerne vil flytte via cron imellem to linux maskiner
på indersiden af vores firewall, jeg vil gerne bruge ssh ifb. rsync, men jeg
har nogen problemer med at få det til at virke.

De 2 maskiner skal kunne authorisere som root gensidigt da det er filer som
kun root har adgang til, da det kører som script og root password skiftes
tit, skal det hels være såledest at der ikke skal udveksles password.

Nogen ideer til indhold af ssh_config, sshd_config ??

mvh.

Claus Derlien

Kasper Dupont (11-01-2005)

Kommentar
Fra : Kasper Dupont

Dato : 11-01-05 14:48

Claus Derlien wrote:
>
> Jeg har nogen filer jeg gerne vil flytte via cron imellem to linux maskiner
> på indersiden af vores firewall, jeg vil gerne bruge ssh ifb. rsync, men jeg
> har nogen problemer med at få det til at virke.
>
> De 2 maskiner skal kunne authorisere som root gensidigt da det er filer som
> kun root har adgang til, da det kører som script og root password skiftes
> tit, skal det hels være såledest at der ikke skal udveksles password.
>
> Nogen ideer til indhold af ssh_config, sshd_config ??

Du skal sørge for at sshd tillader login som root. Bortset
fra den ene detalje er der ingen grund til at pille ved
ssh opsætningen.

Du skal lave et (eller to) nøglepar med ssh-keygen. Og
dernæst laver du en passende authorized_keys fil på hver
maskine. Man kan med authorized_keys også begrænse hvilken
kommando, der kan udføres. Jeg ved ikke om den begrænsning
kan bruges på en fornuftig måde sammen med rsync. Og så
vil du nok også være interesseret i at sætte RSYNC_RSH
environment variablen til "ssh -x".

--
Kasper Dupont

Thor Dreier (11-01-2005)

Kommentar
Fra : Thor Dreier

Dato : 11-01-05 15:38

Kasper Dupont wrote:
> Claus Derlien wrote:
>
>>Jeg har nogen filer jeg gerne vil flytte via cron imellem to linux maskiner
>>på indersiden af vores firewall, jeg vil gerne bruge ssh ifb. rsync, men jeg
>>har nogen problemer med at få det til at virke.
>>
>>De 2 maskiner skal kunne authorisere som root gensidigt da det er filer som
>>kun root har adgang til, da det kører som script og root password skiftes
>>tit, skal det hels være såledest at der ikke skal udveksles password.
>>
>>Nogen ideer til indhold af ssh_config, sshd_config ??
>
>
> Du skal sørge for at sshd tillader login som root. Bortset
> fra den ene detalje er der ingen grund til at pille ved
> ssh opsætningen.

Du har forhåbentlig sat "PermitRootLogin no" i sshd nu!
Sæt "PermitRootLogin forced-commands-only", så kan man kun logge ind som
root hvis man har en nøgle hvor der er tilknyttet en bestemt kommando.

> Du skal lave et (eller to) nøglepar med ssh-keygen. Og
> dernæst laver du en passende authorized_keys fil på hver
> maskine. Man kan med authorized_keys også begrænse hvilken
> kommando, der kan udføres. Jeg ved ikke om den begrænsning
> kan bruges på en fornuftig måde sammen med rsync. Og så
> vil du nok også være interesseret i at sætte RSYNC_RSH
> environment variablen til "ssh -x".

Man kan fint begrænse at det kun skal være rsync der må køres med den
pågældende nøgle. Man skal bare sørge for at der i authorized_keys(2)
filen står alle de parametre som rsync skal have for at køre, f.eks.:

rsync --server --sender -vlHogDtprx --numeric-ids . /

Samtidig kan du begrænse at det kun er maskinen med en bestemt ip der
har lov til at logge ind med den pågældende nøjle. Hele linien i
authorized_keys2 vil så se nogenlunde såden her ud (skal stå på én linie):

command="rsync --server --sender -vlHogDtprx --numeric-ids .
/",from="10.0.0.5"
,no-port-forwarding,no-X11-forwarding,no-agent-forwarding ssh-rsa
AAAAB3NzaC1yc
2EAAAABIwAAAIEAxH1KNHrOFn1XOZzYRaCaZRqtFfwjzGYPjE5FMhF4voEetoSojXMTIyUU6EI81S+6
Z9XWPFuEZDN0x2xZzjJlcR0ur1zZ5O0ipfNE7f7hqBusH1NQfE5VmH3R+ehQ61FBztvaGuGtl0DjehX
WUFrMT7INjJu2whz9+3Vtn4Vxp4U= root@server

mvh Thor

Kasper Dupont (11-01-2005)

Kommentar
Fra : Kasper Dupont

Dato : 11-01-05 16:12

Thor Dreier wrote:
>
> Du har forhåbentlig sat "PermitRootLogin no" i sshd nu!

Jeg ser ikke noget problem i at sshd tillader logins som
root. Du kommer alligevel kun ind, hvis du anvender
passwordet eller en nøgle der er autoriseret til det.

> Sæt "PermitRootLogin forced-commands-only", så kan man kun logge ind som
> root hvis man har en nøgle hvor der er tilknyttet en bestemt kommando.

Men hvis alle linier i authorized_keys har en kommando
tilknyttet gør det ingen forskel.

>
> Man kan fint begrænse at det kun skal være rsync der må køres med den
> pågældende nøgle. Man skal bare sørge for at der i authorized_keys(2)
> filen står alle de parametre som rsync skal have for at køre, f.eks.:
>
> rsync --server --sender -vlHogDtprx --numeric-ids . /

Jeg kender ikke alle rsync argumenterne. Men jeg
troede, der skulle et filnavn med.

--
Kasper Dupont

Thor Dreier (11-01-2005)

Kommentar
Fra : Thor Dreier

Dato : 11-01-05 16:18

Kasper Dupont wrote:
> Thor Dreier wrote:
>>rsync --server --sender -vlHogDtprx --numeric-ids . /
>
> Jeg kender ikke alle rsync argumenterne. Men jeg
> troede, der skulle et filnavn med.

Hvis du skal hente rekursivt ned, så skal path'en til hvor der skal
startes angives (/ i ovenstående tilfælde).

Thor

Søg

Reklame

Statistik

Spørgsmål :	177550
Tips :	31968
Nyheder :	719565
Indlæg :	6408823
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste