Hallo
und zwar möchte ich einige PC's passwortlos via ssh und rsync sichern. Dazu möchte ich einen passwortlosen Zugang nutzten, welcher jedoch nicht wirklich sicher ist.
Ich hatte bis jetzt einfach einen öffentlichen und privaten Schlüssel erzeugt und den öffentlichen an die Clients verteilt. Das geht auch alles super, ist mir aber zu unsicher.
Gibt es da vielleicht auch eine alternative. Am liebsten wäre mir ein Schlüsselpaar für jeden Rechner.
Danke
Passwortloses Backup via SSH, wie am sichersten
Re: Passwortloses Backup via SSH, wie am sichersten
ssh public key authentication ist sicher, was stoert dich daran? Wenn das keypair mit passphrase geschuetzt ist (was immer der Fall sein sollte weil man kann ja ssh-agent verwenden) ist das kein Problem.
http://sunoano.name/ws/public_xhtml/ssh ... entication du kannst auch die command= option verwenden um festzulegen das nur bestimmete Kommandos erlaubt sind.
Da du eh rsync verw. und keine richtigen backups machst kannst du gleich http://sunoano.name/ws/public_xhtml/unison.html verwenden damit der restore auch gleich leichter geht. Ich verw. genau die Kombiantion, Unison ueber ssh pka.
http://sunoano.name/ws/public_xhtml/ssh ... entication du kannst auch die command= option verwenden um festzulegen das nur bestimmete Kommandos erlaubt sind.
Da du eh rsync verw. und keine richtigen backups machst kannst du gleich http://sunoano.name/ws/public_xhtml/unison.html verwenden damit der restore auch gleich leichter geht. Ich verw. genau die Kombiantion, Unison ueber ssh pka.
Re: Passwortloses Backup via SSH, wie am sichersten
ich versuche nun die rechner via cronjob zu sichern, die passwortlose anmeldung geschieht über den ssh-agent......jetzt hab ich nur folgendes problem....
1. wie starte ich den ssh-agent dauerhaft ?
2. wie kann ich den ssh-agent starten, ohne das ich nach jedem kommando das via cron abgesetzt wurde den passphrase wieder eingeben muss
danke für die antwort
1. wie starte ich den ssh-agent dauerhaft ?
2. wie kann ich den ssh-agent starten, ohne das ich nach jedem kommando das via cron abgesetzt wurde den passphrase wieder eingeben muss
danke für die antwort
Re: Passwortloses Backup via SSH, wie am sichersten
was meinst du mit dauerhaft?
Der Sinn und Zweck des SSH-agent ist es eine key-unlock des private key via passphrase zu machen und diesen dann in einem volatile Speicher (z.B. Standard RAM) zu halten. Mit ssh-add <path_to_private_key> rufst du den Agent auf, gibst im die Passphrase und von da an nutzt SSH den agent und du musst nicht immer von neuem die passphrase eingeben.
Der ssh link von oben zeigt all das im Detail ...
Was fuer eine Toplogie verw. du eigentlich. Wenn deine am Backup beteiligten Rechner nicht z.B. auch deine lokale Maschine beinhalten dann kannst du keychain nutzen um auch nach dem ausloggen aus einer remote maschine dafuer zu sorgen das diese sich via SSH-agent auf andere Rechner (auch remote) verbinden kann und auf diese Daten synct.
In einfachen Worten, bei drei Rechnern, einer lokal und zwei remote, kannst du auf einem der beiden keychain verw. damit sich dieser automatisch via Unison mit dem zweiten syncen kann. Dafuer muss natuerlich der welcher sich am anderen einloggt den private key im Speicher haben ... das geht mit keychain auch nachdem du dich wieder ausgelogged hast.
Der Sinn und Zweck des SSH-agent ist es eine key-unlock des private key via passphrase zu machen und diesen dann in einem volatile Speicher (z.B. Standard RAM) zu halten. Mit ssh-add <path_to_private_key> rufst du den Agent auf, gibst im die Passphrase und von da an nutzt SSH den agent und du musst nicht immer von neuem die passphrase eingeben.
Der ssh link von oben zeigt all das im Detail ...
Was fuer eine Toplogie verw. du eigentlich. Wenn deine am Backup beteiligten Rechner nicht z.B. auch deine lokale Maschine beinhalten dann kannst du keychain nutzen um auch nach dem ausloggen aus einer remote maschine dafuer zu sorgen das diese sich via SSH-agent auf andere Rechner (auch remote) verbinden kann und auf diese Daten synct.
In einfachen Worten, bei drei Rechnern, einer lokal und zwei remote, kannst du auf einem der beiden keychain verw. damit sich dieser automatisch via Unison mit dem zweiten syncen kann. Dafuer muss natuerlich der welcher sich am anderen einloggt den private key im Speicher haben ... das geht mit keychain auch nachdem du dich wieder ausgelogged hast.
Re: Passwortloses Backup via SSH, wie am sichersten
Also "ssh-agent" scheint bei automatischen Scripts wohl nicht die beste Lösung zu sein 
Aber als weitere Absicherung kann man "authorized_keys" um die Parameter "from=" und "command=" erweitern. "from" natürlich nur dann, wenn der zugreifende Rechner (SSH-Client) eine statische IP-Adresse oder einen dynamischen Namen hat. Mit "command" könnte der Key auf das Backupscript eingeschränkt werden. Administrative Tätigkeiten wären über einen zweiten Key (dann jedoch mit Passphrase) durchzuführen.
Aber als weitere Absicherung kann man "authorized_keys" um die Parameter "from=" und "command=" erweitern. "from" natürlich nur dann, wenn der zugreifende Rechner (SSH-Client) eine statische IP-Adresse oder einen dynamischen Namen hat. Mit "command" könnte der Key auf das Backupscript eingeschränkt werden. Administrative Tätigkeiten wären über einen zweiten Key (dann jedoch mit Passphrase) durchzuführen.
Re: Passwortloses Backup via SSH, wie am sichersten
also ich sichere von einen zentralen server aus clients..........das geschieht via rsnapshot....rsnapshot nutzt nichts anderes als ssh rsync und ich glaube das wars schon.......ich will das die sicherung aller x stunden geschieht, das ganze läuft dann unter nem benutzer nenne wir ihn backup und wie gesagt weiß ich nicht wie ich ohne dauerhaftes passphrase tippen eine passwortlose, halbwegs sichere anmeldung hinbekomme
Re: Passwortloses Backup via SSH, wie am sichersten
Also ein SSH-Key ohne Passphrase ist so lange sicher wie der private Schlüssel nicht in die falschen Hände kommt. Wenn du vom Server die Clients sicherst solltest nur Du dort "root" sein. Der private Key liegt ja nur auf deinem Server (SSH-Client).
Du kannst auch umgekehrt die Clients sich auf dem Server sichern lassen. Dann liegt der Private-Key auf den Clients. In dem Fall gilt das was ich weiter oben gepostet habe zur Einschränkung der SSH-Sitzung.
Du kannst auch umgekehrt die Clients sich auf dem Server sichern lassen. Dann liegt der Private-Key auf den Clients. In dem Fall gilt das was ich weiter oben gepostet habe zur Einschränkung der SSH-Sitzung.
Re: Passwortloses Backup via SSH, wie am sichersten
ich glaube ich mach das jetzt einfach mit einem schlüssel ohne passwort, dann kopier ich einfach den public key auf den client.....jedoch beschränke ich die liste der auszuführenden befehle von nutzer xy auf das notwendigste....