Хотелось бы выслушать мнение общественности по поводу безопасности того, что хочу сделать. Нужно сделать резервное копирование удаленного сервера, а это почтовые ящики (IMAP), веб-сайты и немного всякого мусора. Был выбран rsync. Встала следующая проблема: права доступа к, например, почтовым ящикам -rw-------. т.е. или юзером или рутом. Насколько вообще безопасно делать удаленную синхронизацию от имени удаленного рута при том заходить с пустой passphrase?
Для обычного входа пароль естественно стоит.
Может есть какое-то более красивое решение проблемы?

• Авторизация root по ssh без пароля,Vladimir D Belousov, 17:58 , 26-Дек-05
  • Авторизация root по ssh без пароля,Vladp, 18:02 , 26-Дек-05
• Авторизация root по ssh без пароля,Skif, 18:04 , 26-Дек-05
  • Авторизация root по ssh без пароля,rm, 18:07 , 26-Дек-05
    • Авторизация root по ssh без пароля,Vladp, 18:12 , 26-Дек-05
      • Авторизация root по ssh без пароля,rm, 18:19 , 26-Дек-05
        • Авторизация root по ssh без пароля,Vladp, 18:25 , 26-Дек-05
          • Авторизация root по ssh без пароля,rm, 18:28 , 26-Дек-05
            • Авторизация root по ssh без пароля,Nimdar, 18:35 , 26-Дек-05
              • Авторизация root по ssh без пароля,Vladp, 18:47 , 26-Дек-05
  • Авторизация root по ssh без пароля,Vladp, 18:49 , 26-Дек-05
• Авторизация root по ssh без пароля,Jelis, 20:00 , 26-Дек-05

>Хотелось бы выслушать мнение общественности по поводу безопасности того, что хочу сделать.
>Нужно сделать резервное копирование удаленного сервера, а это почтовые ящики (IMAP),
>веб-сайты и немного всякого мусора. Был выбран rsync. Встала следующая проблема:
>права доступа к, например, почтовым ящикам -rw-------. т.е. или юзером или
>рутом. Насколько вообще безопасно делать удаленную синхронизацию от имени удаленного рута
>при том заходить с пустой passphrase?
>Может есть какое-то более красивое решение проблемы?

А какой адрес сервера?

>А какой адрес сервера?
Состоит из 4-х цифр(0-255), разделенных точкой.
Если посоветовать ничего не в состоянии, то зачем писать?

>Для обычного входа пароль естественно стоит.
>Может есть какое-то более красивое решение проблемы?

Может через NFS отдавать?

>>Для обычного входа пароль естественно стоит.
>>Может есть какое-то более красивое решение проблемы?
>
>
>Может через NFS отдавать?

авторизация по ключам root@server1 --> root@server2 (тут permit Root login)
причем passphrase пустой. С безопасностью все нормально. key fingerpring врятли кто подделает.

>авторизация по ключам root@server1 --> root@server2 (тут permit Root login)
>причем passphrase пустой. С безопасностью все нормально. key fingerpring врятли кто подделает.
>
Если я правильно понял на локальной машине запускать rsync от имени рута примерно так
rsync root@host:/path /path
и с пустой passphrase и проблем никаких не будет? ну кроме когда на локальном сервере взломают рута. ;)

>>авторизация по ключам root@server1 --> root@server2 (тут permit Root login)
>>причем passphrase пустой. С безопасностью все нормально. key fingerpring врятли кто подделает.
>>
>Если я правильно понял на локальной машине запускать rsync от имени рута
>примерно так
>rsync root@host:/path /path
>и с пустой passphrase и проблем никаких не будет? ну кроме когда
>на локальном сервере взломают рута. ;)

кто его взломает? у тебя же не пароль рута пустой, а пустой passphrase в ключе!

>кто его взломает? у тебя же не пароль рута пустой, а пустой
>passphrase в ключе!

Я не о том.
Если на локальной машине получить права рута, то и на удаленной автоматически эти же права получаются. используя именно пустой passphrase в ключе! Вот я и говорю, что если взломают локальную машину, то и на удаленную дорожка открыта.

>>кто его взломает? у тебя же не пароль рута пустой, а пустой
>>passphrase в ключе!
>
>Я не о том.
>Если на локальной машине получить права рута, то и на удаленной автоматически
>эти же права получаются. используя именно пустой passphrase в ключе! Вот
>я и говорю, что если взломают локальную машину, то и на
>удаленную дорожка открыта.

да, это так, если знать с каким именно ключем коннектиться по ssh  :))

и не допускай, чтобы взломали локальную машину :)

А локальная машина снаружи видна? Если да, то может сделать наоборот? Не коннектиться рутом на сервер, а на сервере из под рута запустить скрипт, который под пользователем, например, backup, зальет инфу на локальную машину. Схема та же самая, авторизация ключами.

>А локальная машина снаружи видна? Если да, то может сделать наоборот? Не
>коннектиться рутом на сервер, а на сервере из под рута запустить
>скрипт, который под пользователем, например, backup, зальет инфу на локальную машину.
>Схема та же самая, авторизация ключами.

Думал над этим, но по некоторым причинам нельзя такое сделать.
А во вторых религия не позволяет :)))))))

>>Для обычного входа пароль естественно стоит.
>>Может есть какое-то более красивое решение проблемы?
>
>
>Может через NFS отдавать?

Думаю, но как-то не очень хочется. Был не очень хороший опыт от общения с NFS. Хотя потом обнаружилось, что все это из-за проблем с железом, но осадок остался.

>Хотелось бы выслушать мнение общественности по поводу безопасности того, что хочу сделать.
>Нужно сделать резервное копирование удаленного сервера, а это почтовые ящики (IMAP),
>веб-сайты и немного всякого мусора. Был выбран rsync. Встала следующая проблема:
>права доступа к, например, почтовым ящикам -rw-------. т.е. или юзером или
>рутом. Насколько вообще безопасно делать удаленную синхронизацию от имени удаленного рута
>при том заходить с пустой passphrase?
>Для обычного входа пароль естественно стоит.
>Может есть какое-то более красивое решение проблемы?

И на локальной, и на удаленной машине создаються отдельные юзеры, авторизация по ключам настраивается для них. На удаленной через sudo даются права на необходимые команды ( rsync, tar, или чем еще бекапиться ). На локальной бекап получается пренадлежит не руту а юзеру.
В такой конфигурации беспарольной авторизации для рута нет. Хотя, если сломают удаленного юзера, то tarом ( rsyncoм ) через sudo умелыми руками тоже делов можно наделать ;)