| View previous topic :: View next topic |
| Author |
Message |
Wolle
Apprentice
Joined: 07 May 2003
Posts: 256
Location: Hamburg (Germany)
|
 Posted: Mon Jun 02, 2008 4:22 pm Post subject: Daten spiegeln von externem Server [solved] |
 |
|
Ich habe ein paar Kunden, die mir Geld dafür geben, dass ich ihre Daten sichere. Bis jetzt sammeln deren Server ihre Daten selber zusammen und übertragen das Ergebnis auf meinen Server.
Das will ich ändern. Ich möchte gern mit meinem Server die Daten von den Kundenmaschinen abholen. Mein Ansatz ist: | Code: | | rsync -av --timeout=$timeout --delete -e "ssh -p $Port" backupuser@$kundenserver:/srv/Data /srv/Mirror/Kunde |
backupuser@$kundenserver ist in der selben Gruppe, wie die anderen, die auf $kundenserver ihre Daten in /srv/Data ablegen.
Mein Problem entsteht, wenn Daten nicht gruppenlesbar sind. Die Gruppenlesbarkeit will ich auch nicht per cronjob o.ä. herstellen, vielleicht meint es ja mal einer ernst mit dem, was er da macht.
Ich würde gern die Daten als root zusammensammeln. Ich will aber root@$kundenserver nicht von außerhalb per ssh zugänglich machen.
Wie kann ich trotzdem alles aus $kundenserver:/srv/Data zu mir rüberziehen?
_________________
USE="gentoo" emerge linux
Last edited by Wolle on Tue Jun 03, 2008 2:48 pm; edited 1 time in total |
|
| Back to top |
|
 |
xraver
Veteran
Joined: 20 Aug 2003
Posts: 1083
Location: Halberstadt
|
| Posted: Tue Jun 03, 2008 5:42 am Post subject: |
|
|
Ich habe es so geregelt das "root" per cron ein Archiv der Daten erstellt, dann das Archiv per chown dem User verfügbar macht und ich eben dieses Archiv vom Server zihen lasse. Spart sogar Traffic und Platz  |
|
| Back to top |
|
|
69719
l33t
Joined: 20 Sep 2004
Posts: 865
|
| Posted: Tue Jun 03, 2008 6:32 am Post subject: |
|
|
| Installiere doch einen OpenVPN Server und lasse den SSH Zugang nur aus dem OpenVPN Netz zu. |
|
| Back to top |
|
|
bbgermany
Veteran
Joined: 21 Feb 2005
Posts: 1844
Location: Oranienburg/Germany
|
| Posted: Tue Jun 03, 2008 6:37 am Post subject: |
|
|
| escor wrote: | | Installiere doch einen OpenVPN Server und lasse den SSH Zugang nur aus dem OpenVPN Netz zu. |
Das ist ein interessanter Ansatz. Jedoch würde ich vorschlagen, die Authentifizierung nur via PubKey zuzulassen. Das hilft bei dem Problem, wenn der OpenVPN Server nicht startet.
MfG. Stefan
_________________
Desktop: Ryzen 5 5600G, 32GB, 2TB, RX7600
Notebook: Dell XPS 13 9370, 16GB, 1TB
Server #1: Ryzen 5 Pro 4650G, 64GB, 16.5TB
Server #2: Ryzen 4800H, 32GB, 22TB |
|
| Back to top |
|
|
69719
l33t
Joined: 20 Sep 2004
Posts: 865
|
| Posted: Tue Jun 03, 2008 6:45 am Post subject: |
|
|
| bbgermany wrote: | | escor wrote: | | Installiere doch einen OpenVPN Server und lasse den SSH Zugang nur aus dem OpenVPN Netz zu. |
Das ist ein interessanter Ansatz. Jedoch würde ich vorschlagen, die Authentifizierung nur via PubKey zuzulassen. Das hilft bei dem Problem, wenn der OpenVPN Server nicht startet.
MfG. Stefan |
Dann aber wohl auch nur als ein stinknormaler Nutzer der sich via "su" als root anmelden kann. |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Tue Jun 03, 2008 6:57 am Post subject: |
|
|
alternativer Vorschlag, halb ernstgemeint angeregt durch das 'vielleicht meint es ja mal einer ernst mit dem, was er da macht'
Vertrag so gestalten das nur dem backupuser zugängliche Daten auch gesichert werden; alles andere liegt in der Verantwortung des Kunden.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
Wolle
Apprentice
Joined: 07 May 2003
Posts: 256
Location: Hamburg (Germany)
|
| Posted: Tue Jun 03, 2008 2:47 pm Post subject: |
|
|
| escor wrote: | | Installiere doch einen OpenVPN Server und lasse den SSH Zugang nur aus dem OpenVPN Netz zu. |
Geile Idee - geht leider nicht weil die Kundenserver teilweise mit ARM-CPUs bestückt sind, da gibt's zumindest unter Gentoo kein openVPN.
| Think4UrS11 wrote: | | Vertrag so gestalten das nur dem backupuser zugängliche Daten auch gesichert werden; alles andere liegt in der Verantwortung des Kunden. |
Ich bin auf das Problem auch erst gestossen, als nicht gruppenlesbare Dateien dabei waren. Der User hatte Anhänge per Drag&Drop aus KMail auf den Server kopiert. Wenn man sowas macht, stehen die Dateirechte auf 400. Das würde zwar ein nächtlicher cronjob geradeziehen, den ich auch in den Vertrag aufnehmen könnte, aber das Wort "schön" benutze ich für andere Dinge.
Ich hab das jetzt mal so gelöst:
| Code: | root@kundenserver ~ $ cat /usr/local/bin/Rsync
#!/bin/bash
sudo /usr/bin/rsync $@
root@kundenserver ~ $ tail -n 1 /etc/sudoers
backupuser ALL=NOPASSWD:/usr/bin/rsync |
und dann
| Code: | | rsync -av --timeout=$timeout --rsync-path=/usr/local/bin/Rsync --delete -e "ssh -p $Port" backupuser@$kundenserver:/srv/Data /srv/Mirror/Kunde |
Ich danke euch für die Denkhilfe --> [solved] 
_________________
USE="gentoo" emerge linux |
|
| Back to top |
|
|
69719
l33t
Joined: 20 Sep 2004
Posts: 865
|
| Posted: Tue Jun 03, 2008 3:13 pm Post subject: |
|
|
| Eine weitere Möglichkeit wäre ja ein Login (z.B. Nutzer backup) per Public Key, und diesem Nutzer wird es erlaubt via sudo ein Bash Script als Nutzer root auszuführen. Aber sicherer währe da wohl ein Cronjob. |
|
| Back to top |
|
|
Wolle
Apprentice
Joined: 07 May 2003
Posts: 256
Location: Hamburg (Germany)
|
| Posted: Tue Jun 03, 2008 3:40 pm Post subject: |
|
|
| escor wrote: | | Eine weitere Möglichkeit wäre ja ein Login (z.B. Nutzer backup) per Public Key, und diesem Nutzer wird es erlaubt via sudo ein Bash Script als Nutzer root auszuführen. |
Hab ich doch jetzt so gemacht. Das Probem sehe ich da, wo jemand meinen eigenen Server hackt und bei mir Root-Rechte erlangt. Da kann er dann mit dem "/usr/local/bin/Rsync" auf $kundenrechner schon deutlich mehr Unsinn treiben als mir lieb ist. Vielleicht sollte ich in der /etc/sudoers die Parameter für den rsync-Aufruf mit angeben, so dass nur genau die gewünschte Datenübertragung damit gemacht werden kann und nicht beliebiger Blödsinn.
_________________
USE="gentoo" emerge linux |
|
| Back to top |
|
|
|
Deutsches Forum (German) 
