View previous topic :: View next topic |
Author |
Message |
Wolle Apprentice
Joined: 07 May 2003 Posts: 256 Location: Hamburg (Germany)
|
Posted: Mon Jun 02, 2008 4:22 pm Post subject: Daten spiegeln von externem Server [solved] |
|
|
Ich habe ein paar Kunden, die mir Geld dafür geben, dass ich ihre Daten sichere. Bis jetzt sammeln deren Server ihre Daten selber zusammen und übertragen das Ergebnis auf meinen Server.
Das will ich ändern. Ich möchte gern mit meinem Server die Daten von den Kundenmaschinen abholen. Mein Ansatz ist: Code: | rsync -av --timeout=$timeout --delete -e "ssh -p $Port" backupuser@$kundenserver:/srv/Data /srv/Mirror/Kunde |
backupuser@$kundenserver ist in der selben Gruppe, wie die anderen, die auf $kundenserver ihre Daten in /srv/Data ablegen.
Mein Problem entsteht, wenn Daten nicht gruppenlesbar sind. Die Gruppenlesbarkeit will ich auch nicht per cronjob o.ä. herstellen, vielleicht meint es ja mal einer ernst mit dem, was er da macht.
Ich würde gern die Daten als root zusammensammeln. Ich will aber root@$kundenserver nicht von außerhalb per ssh zugänglich machen.
Wie kann ich trotzdem alles aus $kundenserver:/srv/Data zu mir rüberziehen? _________________ USE="gentoo" emerge linux
Last edited by Wolle on Tue Jun 03, 2008 2:48 pm; edited 1 time in total |
|
Back to top |
|
|
xraver Veteran
Joined: 20 Aug 2003 Posts: 1083 Location: Halberstadt
|
Posted: Tue Jun 03, 2008 5:42 am Post subject: |
|
|
Ich habe es so geregelt das "root" per cron ein Archiv der Daten erstellt, dann das Archiv per chown dem User verfügbar macht und ich eben dieses Archiv vom Server zihen lasse. Spart sogar Traffic und Platz |
|
Back to top |
|
|
69719 l33t
Joined: 20 Sep 2004 Posts: 865
|
Posted: Tue Jun 03, 2008 6:32 am Post subject: |
|
|
Installiere doch einen OpenVPN Server und lasse den SSH Zugang nur aus dem OpenVPN Netz zu. |
|
Back to top |
|
|
bbgermany Veteran
Joined: 21 Feb 2005 Posts: 1844 Location: Oranienburg/Germany
|
Posted: Tue Jun 03, 2008 6:37 am Post subject: |
|
|
escor wrote: | Installiere doch einen OpenVPN Server und lasse den SSH Zugang nur aus dem OpenVPN Netz zu. |
Das ist ein interessanter Ansatz. Jedoch würde ich vorschlagen, die Authentifizierung nur via PubKey zuzulassen. Das hilft bei dem Problem, wenn der OpenVPN Server nicht startet.
MfG. Stefan _________________ Desktop: Ryzen 5 5600G, 32GB, 2TB, RX7600
Notebook: Dell XPS 13 9370, 16GB, 1TB
Server #1: Ryzen 5 Pro 4650G, 64GB, 16.5TB
Server #2: Ryzen 4800H, 32GB, 22TB |
|
Back to top |
|
|
69719 l33t
Joined: 20 Sep 2004 Posts: 865
|
Posted: Tue Jun 03, 2008 6:45 am Post subject: |
|
|
bbgermany wrote: | escor wrote: | Installiere doch einen OpenVPN Server und lasse den SSH Zugang nur aus dem OpenVPN Netz zu. |
Das ist ein interessanter Ansatz. Jedoch würde ich vorschlagen, die Authentifizierung nur via PubKey zuzulassen. Das hilft bei dem Problem, wenn der OpenVPN Server nicht startet.
MfG. Stefan |
Dann aber wohl auch nur als ein stinknormaler Nutzer der sich via "su" als root anmelden kann. |
|
Back to top |
|
|
think4urs11 Bodhisattva
Joined: 25 Jun 2003 Posts: 6659 Location: above the cloud
|
Posted: Tue Jun 03, 2008 6:57 am Post subject: |
|
|
alternativer Vorschlag, halb ernstgemeint angeregt durch das 'vielleicht meint es ja mal einer ernst mit dem, was er da macht'
Vertrag so gestalten das nur dem backupuser zugängliche Daten auch gesichert werden; alles andere liegt in der Verantwortung des Kunden. _________________ Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
Back to top |
|
|
Wolle Apprentice
Joined: 07 May 2003 Posts: 256 Location: Hamburg (Germany)
|
Posted: Tue Jun 03, 2008 2:47 pm Post subject: |
|
|
escor wrote: | Installiere doch einen OpenVPN Server und lasse den SSH Zugang nur aus dem OpenVPN Netz zu. |
Geile Idee - geht leider nicht weil die Kundenserver teilweise mit ARM-CPUs bestückt sind, da gibt's zumindest unter Gentoo kein openVPN.
Think4UrS11 wrote: | Vertrag so gestalten das nur dem backupuser zugängliche Daten auch gesichert werden; alles andere liegt in der Verantwortung des Kunden. |
Ich bin auf das Problem auch erst gestossen, als nicht gruppenlesbare Dateien dabei waren. Der User hatte Anhänge per Drag&Drop aus KMail auf den Server kopiert. Wenn man sowas macht, stehen die Dateirechte auf 400. Das würde zwar ein nächtlicher cronjob geradeziehen, den ich auch in den Vertrag aufnehmen könnte, aber das Wort "schön" benutze ich für andere Dinge.
Ich hab das jetzt mal so gelöst:
Code: | root@kundenserver ~ $ cat /usr/local/bin/Rsync
#!/bin/bash
sudo /usr/bin/rsync $@
root@kundenserver ~ $ tail -n 1 /etc/sudoers
backupuser ALL=NOPASSWD:/usr/bin/rsync |
und dann
Code: | rsync -av --timeout=$timeout --rsync-path=/usr/local/bin/Rsync --delete -e "ssh -p $Port" backupuser@$kundenserver:/srv/Data /srv/Mirror/Kunde |
Ich danke euch für die Denkhilfe --> [solved] _________________ USE="gentoo" emerge linux |
|
Back to top |
|
|
69719 l33t
Joined: 20 Sep 2004 Posts: 865
|
Posted: Tue Jun 03, 2008 3:13 pm Post subject: |
|
|
Eine weitere Möglichkeit wäre ja ein Login (z.B. Nutzer backup) per Public Key, und diesem Nutzer wird es erlaubt via sudo ein Bash Script als Nutzer root auszuführen. Aber sicherer währe da wohl ein Cronjob. |
|
Back to top |
|
|
Wolle Apprentice
Joined: 07 May 2003 Posts: 256 Location: Hamburg (Germany)
|
Posted: Tue Jun 03, 2008 3:40 pm Post subject: |
|
|
escor wrote: | Eine weitere Möglichkeit wäre ja ein Login (z.B. Nutzer backup) per Public Key, und diesem Nutzer wird es erlaubt via sudo ein Bash Script als Nutzer root auszuführen. |
Hab ich doch jetzt so gemacht. Das Probem sehe ich da, wo jemand meinen eigenen Server hackt und bei mir Root-Rechte erlangt. Da kann er dann mit dem "/usr/local/bin/Rsync" auf $kundenrechner schon deutlich mehr Unsinn treiben als mir lieb ist. Vielleicht sollte ich in der /etc/sudoers die Parameter für den rsync-Aufruf mit angeben, so dass nur genau die gewünschte Datenübertragung damit gemacht werden kann und nicht beliebiger Blödsinn. _________________ USE="gentoo" emerge linux |
|
Back to top |
|
|
|