ssh root

Methos · Beitrag von **Methos** » 02.06.2005 10:40:14

hab in der /etc/ssh/sshd_config folgendes deaktiviert: PermitRootLogin no
Klappt ja auch soweit ganz gut und trägt sicher auch einiges zur Sicherheit bei

Jetzt wollte ich nur mein kleines backup Skript testen und es klappt natürlich nicht mehr, weil der Datenabgleich via root stattfindet.
Kann ich das ganze trotzdem irgendwie noch mit root abgleichen?

C_A · Beitrag von **C_A** » 02.06.2005 10:51:05

Mit

Code: Alles auswählen

su

root werden?

Savar · Beitrag von **Savar** » 02.06.2005 11:01:42

du könntest das einloggen per Public Key vielleicht noch machen.. wobei ich nicht weiß ob es geht wenn Root sich nicht per Passwort anmelden darf

Methos · Beitrag von **Methos** » 02.06.2005 11:04:44

@Savar das hatte ich schon versucht, hat aber nicht geklappt.

@C_A hmm stimmt das würd natürlich auch noch gehn

argh auf die simpelsten Lösungen kommt man nicht

Danke

Beitrag von **blackm** » 02.06.2005 11:24:02

Methos hat geschrieben:@C_A hmm stimmt das würd natürlich auch noch gehn argh auf die simpelsten Lösungen kommt man nicht

Wenn es ein Script ist dann wird das mit dem su nicht gehen, weil da musst du ja ein Passwort eingeben.

Was fuer Daten gleicht den das Script ab? Das laesst sich sicherlich auch mit einem anderen User als root machen.

by, Martin

Savar · Beitrag von **Savar** » 02.06.2005 11:29:12

Code: Alles auswählen

su

geht schon.. aber nur mit expect und du musst halt auf deinem lokalen Rechner das Root Passwort des anderen Rechners irgendwie speichern...

Methos · Beitrag von **Methos** » 02.06.2005 11:33:18

Es soll ein Abgleich von /home/ gemacht werden.
Das ich dann das Passwort lokal irgendwie hinterlegen muß ist klar.
Die Lösung gefällt mir auch nicht so

aber ich kann das Skript ja schon mal so stark einschränken das nur root es lesen kann. Für weitere Vorschläge bin ich aber noch sehr dankbar

panchozak · Beitrag von **panchozak** » 02.06.2005 11:49:33

Vielleicht mit dem root per cronjob ein tgz-Archiv erstellen und dieses für einen User lesbar machen. Mit diesem User das Archiv übertragen.
Nur so eine Idee...

Beitrag von **blackm** » 02.06.2005 11:56:59

panchozak hat geschrieben:Vielleicht mit dem root per cronjob ein tgz-Archiv erstellen und dieses für einen User lesbar machen. Mit diesem User das Archiv übertragen.
Nur so eine Idee...

Ja, so mach ich das bei mir auch...so aehnlich zumindest. Als root ein tarerstellen, Eigentuemer aendern und dann per rsync auf einen anderen Rechner uebertragen. Auf dem anderen Rechner werden die dann gzip'ed.

by, Martin

Bert · Beitrag von **Bert** » 02.06.2005 12:12:34

Von Netzwerk verschoben.

Bert

Joghurt · Beitrag von **Joghurt** » 02.06.2005 12:15:13

Methos hat geschrieben:Es soll ein Abgleich von /home/ gemacht werden.
Das ich dann das Passwort lokal irgendwie hinterlegen muß ist klar.
Die Lösung gefällt mir auch nicht so aber ich kann das Skript ja schon mal so stark einschränken das nur root es lesen kann. Für weitere Vorschläge bin ich aber noch sehr dankbar

Wie wäre es, mit sudo zu arbeiten, und dort dem Benutzer, unter dem das Skript läuft, nur zu erlauben, die notwendigen Programme als root, ohne Kennworteingabe, zu starten?

Savar · Beitrag von **Savar** » 02.06.2005 12:17:01

*bretvordemkopf*

Methos · Beitrag von **Methos** » 02.06.2005 12:36:06

da muß ich erstmal schauen wie da die Einstellungen ausschauen müssen bei sudo

Das mit dem packen und dann verschieben entfällt leider, da ich das ganze auf nen Server verschiebe der bei mir zuhause steht und der hat leider nicht sooo ne dicke Leitung

Deswegen will ich auch wirklich nur die Files übertragen die sich verändert haben.

panchozak · Beitrag von **panchozak** » 02.06.2005 12:56:06

schau mal hier unter Punkt 4
Da kann man inkrementelle Sicherungen machen und nur die geänderten Daten sichern.

Methos · Beitrag von **Methos** » 02.06.2005 16:31:51

die Lösung mit tar sieht auch ganz interessant aus. Und ich werds wohl auch vermutlich so ähnlich machen. Muß nur mal testen was letztendlich schneller ist. die tar Lösung von dem Link oder ein lokaler Abgleich mit rsync und anschließendem tar.
Ich denke mal das die Lösung auch die sicherste ist

Sharib · Beitrag von **Sharib** » 02.06.2005 17:03:55

Joghurt hat geschrieben:
Methos hat geschrieben:Es soll ein Abgleich von /home/ gemacht werden.
Das ich dann das Passwort lokal irgendwie hinterlegen muß ist klar.
Die Lösung gefällt mir auch nicht so aber ich kann das Skript ja schon mal so stark einschränken das nur root es lesen kann. Für weitere Vorschläge bin ich aber noch sehr dankbar
Wie wäre es, mit sudo zu arbeiten, und dort dem Benutzer, unter dem das Skript läuft, nur zu erlauben, die notwendigen Programme als root, ohne Kennworteingabe, zu starten?

Wie jetzt?
Du willst "su" mit NOPASSWD in der /etc/sudoer
fuer einen User eintragen?

Gruss, Sharib

Joghurt · Beitrag von **Joghurt** » 02.06.2005 17:54:09

Sharib hat geschrieben:Wie jetzt?
Du willst "su" mit NOPASSWD in der /etc/sudoer
fuer einen User eintragen?

Nö.

Wenn das Backupscript "backup.sh" ist, will ich

Code: Alles auswählen

backupusername ALL = NOPASSWD: /usr/sbin/backup.sh

eintragen. Und dann von remote ein

Code: Alles auswählen

ssh backupuser@server "sudo backup.sh"

ausführen

Methos · Beitrag von **Methos** » 02.06.2005 20:31:15

alles gar nicht sooo einfach, denn wenn ich den Abgleich vom Server aus starte, dann hab ich ja das problem mit der dnyip. Hier ändert sich ja dann jeden Tag der hostkey

Methos · Beitrag von **Methos** » 03.06.2005 11:29:49

muß noch einmal nachfragen, ist es möglich, mit einem normalen User via sudo den rsync zu starten? Denn der Datenabgleich erfolgt ja dann wieder via root und der ist ja gesperrt, also sollte das doch nicht gehn.

dominator · Beitrag von **dominator** » 03.06.2005 11:38:55

Im Linux-Magazin 05/2005 war ein ausführlicher Beitrag zu Rsync per SSH, vielleicht rentiert sich ein Blick darauf.

Methos · Beitrag von **Methos** » 05.06.2005 13:47:46

konnte das ganze jetzt recht simpel lösen und es müsste nach meiner Ansicht auch von der Sicherheit her ausreichend sein.

Trotzdem danke an alle für eure Hilfe