URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 42886
[ Назад ]

Исходное сообщение
"Раздел полезных советов: Безопасный способ копировать бэкапы через ssh"
Отправлено auto_tips , 16-Июл-08 12:20

Опция "command" файла authorized_keys позволяет указать команду, которая будет выполняться при каждом подключении пользователя по ssh.
Это удобно, когда стоит задача копировать файлы на бэкап-сервер.
Например, если необходимо предоставить доступ только к файлу backup.tgz,
то допишите строку "command='cat backup.tgz'" в самое начало строки с нужным ключом файла authorized_keys.
Указанная команда будет выполняться автоматически при каждом подключении,
вам остается только перенаправить вывод в файл. Если дампов несколько,
то можно написать небольшой скрипт, вида:
   #!/bin/sh
   read file
   case "$file" in
      "foo") cat foo.tgz ;;
      "bar") cat bar.tgz ;;
   esac
Кроме command, в таких случаях не лишним было бы добавить также опции no-port-forwarding, no-pty и все прочие no-*
Кроме как для бэкапов, такое же решение может подойти и для мониторинга.
Когда nagios соединяется к удаленному серверу, чтобы собрать какую-либо статистику, полный ssh-доступ ему не нужен.

URL: http://alexey.sveshnikov.ru/blog/2008/03/04/restricted-ssh/
Обсуждается: http://www.opennet.me/tips/info/1611.shtml

Содержание

Безопасный способ копировать бэкапы через ssh,ymkin, 12:20 , 16-Июл-08
Безопасный способ копировать бэкапы через ssh,jj, 14:56 , 16-Июл-08
- Безопасный способ копировать бэкапы через ssh,Аноним, 15:29 , 16-Июл-08
  - Безопасный способ копировать бэкапы через ssh,prapor, 22:34 , 17-Июл-08
    - Безопасный способ копировать бэкапы через ssh,Щекн Итрч, 16:00 , 20-Июл-08
      - Безопасный способ копировать бэкапы через ssh,prapor, 00:34 , 23-Июл-08
        
        Безопасный способ копировать бэкапы через ssh,Щекн Итрч, 21:04 , 23-Июл-08
        
        Безопасный способ копировать бэкапы через ssh,prapor, 22:51 , 23-Июл-08
Безопасный способ копировать бэкапы через ssh,squirL, 15:57 , 16-Июл-08
- Безопасный способ копировать бэкапы через ssh,mahoro, 00:07 , 17-Июл-08
  - Безопасный способ копировать бэкапы через ssh,Дмитрий Ю. Карпов, 11:25 , 23-Июл-08
Безопасный способ копировать бэкапы через ssh,squirL, 13:28 , 17-Июл-08
- Безопасный способ копировать бэкапы через ssh,demimurych, 18:26 , 24-Июл-08
  - Безопасный способ копировать бэкапы через ssh,squirL, 13:57 , 26-Июл-08
Безопасный способ копировать бэкапы через ssh,blzz, 02:38 , 26-Июл-08

Сообщения в этом обсуждении

"Безопасный способ копировать бэкапы через ssh"
Отправлено ymkin , 16-Июл-08 12:20

для копирования файлов удобно scp

"Безопасный способ копировать бэкапы через ssh"
Отправлено jj , 16-Июл-08 14:56

Ну и маразм!
автору: man scp

"Безопасный способ копировать бэкапы через ssh"
Отправлено Аноним , 16-Июл-08 15:29

>автору: man scp
Комментатору 100 раз написать на доске "безопасность".

"Безопасный способ копировать бэкапы через ssh"
Отправлено prapor , 17-Июл-08 22:34

>>автору: man scp
>
>Комментатору 100 раз написать на доске "безопасность".
Анонимусу проследовать за автором в сторону чтения man scp.
Хотя, по делу - а что мешает завернуть rsync в ssh?

"Безопасный способ копировать бэкапы через ssh"
Отправлено Щекн Итрч , 20-Июл-08 16:00

А что мешает НЕ разворачивать уже завернутый в ssh rsync??? :) :) :)

"Безопасный способ копировать бэкапы через ssh"
Отправлено prapor , 23-Июл-08 00:34

rsync не всегда он бывает завернут в ssh. Более того, чаще всего его применяют "в чистом виде" (без "-e ssh")

"Безопасный способ копировать бэкапы через ssh"
Отправлено Щекн Итрч , 23-Июл-08 21:04

rsync не всегда он бывает завернут в ssh. Более того, чаще всего его применяют "в чистом виде" (без "-e ssh")
слышу о таком в первый раз, но поверю вам на слово :)

"Безопасный способ копировать бэкапы через ssh"
Отправлено prapor , 23-Июл-08 22:51

Цитата из man 1 rsync:
_can use_ any transparent remote shell, including ssh or rsh
Всё-таки не can use, а не use ;)

"Безопасный способ копировать бэкапы через ssh"
Отправлено squirL , 16-Июл-08 15:57

как то многа букаф... а нельзя ли просто написать:
cat DUMP | ssh dd of=/PATH/DUMP
я уже молчу про написанное предыдущими ораторами

"Безопасный способ копировать бэкапы через ssh"
Отправлено mahoro , 17-Июл-08 00:07

Ты не можешь дать возможность dd работать только с одним определенным файлом. Доступ по ssh = доступ на чтение почти всей системы, на запись во множество мест плюс еще полный букет неожиданностей.
А здесь ты говоришь, что с той машины можно только читать и только вот этот один конкретный файл. Или записывать, но только сюда, только под таким именем и вот еще давай цифровую подпись проверим, если что - удалим нафик.
Есть разница?

"Безопасный способ копировать бэкапы через ssh"
Отправлено Дмитрий Ю. Карпов , 23-Июл-08 11:25

> Доступ по ssh = доступ на чтение почти всей системы, на запись во множество мест плюс еще полный букет неожиданностей.
Право бэкапитьдают далеко не всякому, а только доверенным людям.
Плюс к тому, существуют chroot и jail.

"Безопасный способ копировать бэкапы через ssh"
Отправлено squirL , 17-Июл-08 13:28

страшно. а делать ssh под юзером backup - и chmod+chown - дать ему читать только определенный файл? :)
зачем городить сложности-то? :)

"Безопасный способ копировать бэкапы через ssh"
Отправлено demimurych , 24-Июл-08 18:26

думаю чтобы не давать шелл

"Безопасный способ копировать бэкапы через ssh"
Отправлено squirL , 26-Июл-08 13:57

shell не нужен.

"Безопасный способ копировать бэкапы через ssh"
Отправлено blzz , 26-Июл-08 02:38

хорошая вещь scp, тока к ресурсам треобовательная.
я добаловался с ним - теперь в тихую бекапную ночь load average: 28.51, 27.30, 27.29