The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Авторизация root по ssh без пароля"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Авторизация root по ssh без пароля" 
Сообщение от Vladp emailИскать по авторуВ закладки(ok) on 26-Дек-05, 17:56  (MSK)
Хотелось бы выслушать мнение общественности по поводу безопасности того, что хочу сделать. Нужно сделать резервное копирование удаленного сервера, а это почтовые ящики (IMAP), веб-сайты и немного всякого мусора. Был выбран rsync. Встала следующая проблема: права доступа к, например, почтовым ящикам -rw-------. т.е. или юзером или рутом. Насколько вообще безопасно делать удаленную синхронизацию от имени удаленного рута при том заходить с пустой passphrase?
Для обычного входа пароль естественно стоит.
Может есть какое-то более красивое решение проблемы?
  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]

1. "Авторизация root по ssh без пароля" 
Сообщение от Vladimir D Belousov Искать по авторуВ закладки on 26-Дек-05, 17:58  (MSK)
>Хотелось бы выслушать мнение общественности по поводу безопасности того, что хочу сделать.
>Нужно сделать резервное копирование удаленного сервера, а это почтовые ящики (IMAP),
>веб-сайты и немного всякого мусора. Был выбран rsync. Встала следующая проблема:
>права доступа к, например, почтовым ящикам -rw-------. т.е. или юзером или
>рутом. Насколько вообще безопасно делать удаленную синхронизацию от имени удаленного рута
>при том заходить с пустой passphrase?
>Может есть какое-то более красивое решение проблемы?

А какой адрес сервера?

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Авторизация root по ssh без пароля" 
Сообщение от Vladp emailИскать по авторуВ закладки(ok) on 26-Дек-05, 18:02  (MSK)
>А какой адрес сервера?
Состоит из 4-х цифр(0-255), разделенных точкой.
Если посоветовать ничего не в состоянии, то зачем писать?

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Авторизация root по ssh без пароля" 
Сообщение от Skif Искать по авторуВ закладки(??) on 26-Дек-05, 18:04  (MSK)
>Для обычного входа пароль естественно стоит.
>Может есть какое-то более красивое решение проблемы?


Может через NFS отдавать?

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Авторизация root по ssh без пароля" 
Сообщение от rm Искать по авторуВ закладки(??) on 26-Дек-05, 18:07  (MSK)
>>Для обычного входа пароль естественно стоит.
>>Может есть какое-то более красивое решение проблемы?
>
>
>Может через NFS отдавать?


авторизация по ключам root@server1 --> root@server2 (тут permit Root login)
причем passphrase пустой. С безопасностью все нормально. key fingerpring врятли кто подделает.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Авторизация root по ssh без пароля" 
Сообщение от Vladp emailИскать по авторуВ закладки(ok) on 26-Дек-05, 18:12  (MSK)
>авторизация по ключам root@server1 --> root@server2 (тут permit Root login)
>причем passphrase пустой. С безопасностью все нормально. key fingerpring врятли кто подделает.
>
Если я правильно понял на локальной машине запускать rsync от имени рута примерно так
rsync root@host:/path /path
и с пустой passphrase и проблем никаких не будет? ну кроме когда на локальном сервере взломают рута. ;)
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Авторизация root по ssh без пароля" 
Сообщение от rm Искать по авторуВ закладки(??) on 26-Дек-05, 18:19  (MSK)
>>авторизация по ключам root@server1 --> root@server2 (тут permit Root login)
>>причем passphrase пустой. С безопасностью все нормально. key fingerpring врятли кто подделает.
>>
>Если я правильно понял на локальной машине запускать rsync от имени рута
>примерно так
>rsync root@host:/path /path
>и с пустой passphrase и проблем никаких не будет? ну кроме когда
>на локальном сервере взломают рута. ;)


кто его взломает? у тебя же не пароль рута пустой, а пустой passphrase в ключе!

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Авторизация root по ssh без пароля" 
Сообщение от Vladp emailИскать по авторуВ закладки(ok) on 26-Дек-05, 18:25  (MSK)
>кто его взломает? у тебя же не пароль рута пустой, а пустой
>passphrase в ключе!

Я не о том.
Если на локальной машине получить права рута, то и на удаленной автоматически эти же права получаются. используя именно пустой passphrase в ключе! Вот я и говорю, что если взломают локальную машину, то и на удаленную дорожка открыта.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Авторизация root по ssh без пароля" 
Сообщение от rm Искать по авторуВ закладки(??) on 26-Дек-05, 18:28  (MSK)
>>кто его взломает? у тебя же не пароль рута пустой, а пустой
>>passphrase в ключе!
>
>Я не о том.
>Если на локальной машине получить права рута, то и на удаленной автоматически
>эти же права получаются. используя именно пустой passphrase в ключе! Вот
>я и говорю, что если взломают локальную машину, то и на
>удаленную дорожка открыта.

да, это так, если знать с каким именно ключем коннектиться по ssh  :))

и не допускай, чтобы взломали локальную машину :)

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Авторизация root по ssh без пароля" 
Сообщение от Nimdar Искать по авторуВ закладки(ok) on 26-Дек-05, 18:35  (MSK)
А локальная машина снаружи видна? Если да, то может сделать наоборот? Не коннектиться рутом на сервер, а на сервере из под рута запустить скрипт, который под пользователем, например, backup, зальет инфу на локальную машину. Схема та же самая, авторизация ключами.
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Авторизация root по ssh без пароля" 
Сообщение от Vladp emailИскать по авторуВ закладки(ok) on 26-Дек-05, 18:47  (MSK)
>А локальная машина снаружи видна? Если да, то может сделать наоборот? Не
>коннектиться рутом на сервер, а на сервере из под рута запустить
>скрипт, который под пользователем, например, backup, зальет инфу на локальную машину.
>Схема та же самая, авторизация ключами.

Думал над этим, но по некоторым причинам нельзя такое сделать.
А во вторых религия не позволяет :)))))))

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Авторизация root по ssh без пароля" 
Сообщение от Vladp emailИскать по авторуВ закладки(ok) on 26-Дек-05, 18:49  (MSK)
>>Для обычного входа пароль естественно стоит.
>>Может есть какое-то более красивое решение проблемы?
>
>
>Может через NFS отдавать?

Думаю, но как-то не очень хочется. Был не очень хороший опыт от общения с NFS. Хотя потом обнаружилось, что все это из-за проблем с железом, но осадок остался.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Авторизация root по ssh без пароля" 
Сообщение от Jelis emailИскать по авторуВ закладки(ok) on 26-Дек-05, 20:00  (MSK)
>Хотелось бы выслушать мнение общественности по поводу безопасности того, что хочу сделать.
>Нужно сделать резервное копирование удаленного сервера, а это почтовые ящики (IMAP),
>веб-сайты и немного всякого мусора. Был выбран rsync. Встала следующая проблема:
>права доступа к, например, почтовым ящикам -rw-------. т.е. или юзером или
>рутом. Насколько вообще безопасно делать удаленную синхронизацию от имени удаленного рута
>при том заходить с пустой passphrase?
>Для обычного входа пароль естественно стоит.
>Может есть какое-то более красивое решение проблемы?

И на локальной, и на удаленной машине создаються отдельные юзеры, авторизация по ключам настраивается для них. На удаленной через sudo даются права на необходимые команды ( rsync, tar, или чем еще бекапиться ). На локальной бекап получается пренадлежит не руту а юзеру.
В такой конфигурации беспарольной авторизации для рута нет. Хотя, если сломают удаленного юзера, то tarом ( rsyncoм ) через sudo умелыми руками тоже делов можно наделать ;)

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру