Moin!
Folgendes Szenario:
Ich habe zwei Rootserver und möchte das Backup des einen Server auf dem jeweiligen anderen Server hinterlegen. Ich weiß für ein sichereres professionelles Backup reicht soetwas nicht, aber da es nur private Server sind, geht das in Ordnung.
Einfachste Lösung wäre scp. Aber sobald ein Angreifer Server 1 gehackt hat, kann er auch auf Server 2 mit dem dort hinterlegten Key zugreifen => Schlecht
Eine andere Lösung wäre ein FTP-Server auf beiden Seiten, der den Usern nur erlaubt, Dateien zu speichern. Herunterladen und löschen nicht. Damit wäre das Backup, einmal hochgeladen, sicher. Allerdings wird ja bekanntermaßen via FTP alles im Klartext übertragen => Suboptimal.
Mein aktueller Plan ist:
Via OpenVPN ein VPN zwischen den Servern aufbauen und via FTP.
Nun die Frage:
Geht es irgendwie einfacher? Hat jemand einen Tipp?
Viele Grüße
ruwen
Sichere scriptgesteuerte Dateiübertragung (kein scp!)
Re: Sichere scriptgesteuerte Dateiübertragung (kein scp!)
Hallo,
wie wäre es mit ge'chroot'eten (komisches Wort
) ssh Zugängen. Dann kann da auch nicht viel passieren.
Gruß
wie wäre es mit ge'chroot'eten (komisches Wort
) ssh Zugängen. Dann kann da auch nicht viel passieren.Gruß
Re: Sichere scriptgesteuerte Dateiübertragung (kein scp!)
"rsync über ssh". Entsprechend den Key nur für den Befehl "command=..." in ~/.ssh/authorized_keys erlauben.
Nicht wirklich probiert:
http://sial.org/howto/rsync/
Nicht wirklich probiert:
http://sial.org/howto/rsync/
Re: Sichere scriptgesteuerte Dateiübertragung (kein scp!)
Das klingt interessant. Eigentlich soll der ja garnichts machen dürfen. Also müsste doch eine leere chroot-Umgebung funktionieren oder? Er brauch ja nur irgendwo ein Heimat-Verzeichnis wo er etwas reinkopieren kann.michaels hat geschrieben:Hallo,
wie wäre es mit ge'chroot'eten (komisches Wort
Gruß
Re: Sichere scriptgesteuerte Dateiübertragung (kein scp!)
Ja. Einfach User z.B. "backup" anlegen. Der wird dann in /home/backup/ eingesperrt und fertig.
Mit einigermaßen aktuellen OpenSSH Versionen geht es sogar recht einfach:
http://www.debian-administration.org/articles/590
Gruß
Mit einigermaßen aktuellen OpenSSH Versionen geht es sogar recht einfach:
http://www.debian-administration.org/articles/590
Gruß
Re: Sichere scriptgesteuerte Dateiübertragung (kein scp!)
Das läuft schon ganz geschmeidig. Leider fehlt mir noch ne Möglichkeit, dem User zu verbieten, den Krams wieder zu löschen. Zur Not halt via cron aufm Backuprechner chown, aber schön ist was anderesmichaels hat geschrieben:Ja. Einfach User z.B. "backup" anlegen. Der wird dann in /home/backup/ eingesperrt und fertig.
Mit einigermaßen aktuellen OpenSSH Versionen geht es sogar recht einfach:
http://www.debian-administration.org/articles/590
Gruß
EDIT: erledigt. chmod 600 && chown 0 file reicht ja
EDIT²: Geht nicht *grummel*. Bleibt nur der Cronjob aufm Backupserver der alles überbügelt. Schade.