форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"dump over ssh - ? public, DSA, RSA - no password prompt"
Сообщение от priest on 19-Фев-03, 15:48  (MSK)
День добрый. Имеется 2 машины обе под FreeBSD 4.7+sshd 1.56 (unix1 - server) и 4.5 (unix2 - remote host). Задача сделать dump слайса с одной машины() на ленточку другой. Желательно повесить эту задачу в cron. Отсюда естественное желание избавиться от вопросов о паролях. После прочтения манов и факов по ssh, а также того что пишут многоуважаемые в разных форумах - в голове образовалась легкая каша :( Что должно быть, а главное чего не должно быть в настройках ssh_config и sshd_config? И какие ключи использовать для аутентификации? Вот примерно как я себе это представляю: 0. Машина откуда делается backup: unix2#> su - 1. С помощью ssh-keygen для root-а генерятся открытые\закрытые ключи (для простоты rsa 1) unix2#> ssh-keygen -t rsa Passphrase для простоты оставляем пустую. 2. unix2#> cd /root/.ssh/ unix2#> cp identity.pub authorized_keys и по фтп его переливаем в unix1:/root/.ssh + выставляются правильные пермиции 3. Дальше идем на наш сервер и редактируем sshd_config следующим образом: Port 22 Protocol 1,2 HostKey /etc/ssh/ssh_host_key HostKey /etc/ssh/ssh_host_dsa_key PermitRootLogin yes RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys RhostsAuthentication no IgnoreRhosts yes HostBasedAuthentication no IgnoreUserKnownHosts no 4. Редактируем /etc/ssh/ssh_config Host * RSAAuthentication yes IdentityFile ~/.ssh/identity Port 22 Protocol 1,2 Так вот при попытке проверочного входа с unix2 на unix1 типа unix2#> ssh unix1.<domain> получаем промпт типа root@unix1.<domain> password: Вопрос - кто собственно выдает этот промпт? Если это SSH - то где это фиксится? Или я не правильно понял политику или ssh в данном случае просто не смотрит в ключи ... :-\ Best / priest
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: dump over ssh - ? public, DSA, RSA - no password prompt"
Сообщение от lavr on 19-Фев-03, 16:20  (MSK)
>День добрый. > >Имеется 2 машины обе под FreeBSD 4.7+sshd 1.56 (unix1 - server) и >4.5 (unix2 - remote host). >Задача сделать dump слайса с одной машины() на ленточку другой. Желательно повесить >эту задачу в cron. Отсюда естественное желание избавиться от вопросов о >паролях. > >После прочтения манов и факов по ssh, а также того что пишут >многоуважаемые в разных форумах - в голове образовалась легкая каша :( > >Что должно быть, а главное чего не должно быть в настройках ssh_config >и sshd_config? И какие ключи использовать для аутентификации? > >Вот примерно как я себе это представляю: >0. Машина откуда делается backup: >unix2#> su - > >1. С помощью ssh-keygen для root-а генерятся открытые\закрытые ключи (для простоты rsa >1) >unix2#> ssh-keygen -t rsa >Passphrase для простоты оставляем пустую. > >2. >unix2#> cd /root/.ssh/ >unix2#> cp identity.pub authorized_keys >и по фтп его переливаем в unix1:/root/.ssh > >+ выставляются правильные пермиции > >3. Дальше идем на наш сервер и редактируем sshd_config следующим образом: >Port 22 >Protocol 1,2 >HostKey /etc/ssh/ssh_host_key >HostKey /etc/ssh/ssh_host_dsa_key >PermitRootLogin yes >RSAAuthentication yes >PubkeyAuthentication yes >AuthorizedKeysFile .ssh/authorized_keys >RhostsAuthentication no >IgnoreRhosts yes >HostBasedAuthentication no >IgnoreUserKnownHosts no > >4. Редактируем /etc/ssh/ssh_config >Host * >RSAAuthentication yes >IdentityFile ~/.ssh/identity >Port 22 >Protocol 1,2 > >Так вот при попытке проверочного входа с unix2 на unix1 типа >unix2#> ssh unix1.<domain> >получаем промпт типа >root@unix1.<domain> password: > >Вопрос - кто собственно выдает этот промпт? >Если это SSH - то где это фиксится? >Или я не правильно понял политику или ssh в данном случае просто >не смотрит в ключи ... :-\ > >Best / priest либо используя rsh/rhost авторизацию SSH-1, либо читать в сторону пустой pass-phrase, иначе никак. ps. в SuSE меняли в sources ssh что-то, возвращили взад и делали по крону через авторизацию rsh/rhosts (hosts.equiv), понятно что между этими двумя машинами rsh должен работать, всем остальным фильтровать в firewall. Не помню где, есть сайт с обсасыванием подобных вопросов, возможно что-то добавили в FAQ'и, я их давно не смотрел и переводы не дополнял: http://unix1.jinr.ru/~lavr/
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: dump over ssh - ? public, DSA, RSA - no password prompt"
	Сообщение от priest on 19-Фев-03, 19:20  (MSK)
	>либо используя rsh/rhost авторизацию SSH-1, либо читать в сторону >пустой pass-phrase, иначе никак. > >ps. в SuSE меняли в sources ssh что-то, возвращили взад и делали > >по крону через авторизацию rsh/rhosts (hosts.equiv), понятно что между >этими двумя машинами rsh должен работать, всем остальным фильтровать >в firewall. Не помню где, есть сайт с обсасыванием подобных вопросов, >возможно что-то добавили в FAQ'и, я их давно не смотрел и переводы > >не дополнял: http://unix1.jinr.ru/~lavr/ Это я все читал и вобщем с пользой :) В результате остановился я на следующей конфигурации (может кому будет  интересно): [ /etc/ssh/sshd_config ] RhostsAuthentication no RhostsRSAAuthentication yes HostbasedAuthentication no с добавлением открытого ключа удаленного хоста в /etc/ssh/ssh_known_hosts [ вот тут я не очень догнал - по идее RhostsRSA... дожен помимо ssh_known_hosts смортеть еще и в /etc/ssh/shosts.equiv, но он ему очевидно по большому барабану ] Все теперь рут может ходить без промптов. При чем PermitRootLogin yes PasswordAuthentication no PermitEmptyPassword no А чтобы ходить на сервер с рабочей станции RSAAuthentication yes c добавлением открытого ключа сгенеренного на РС в ~/.ssh/authorized_keys Итого: root с доверенного хоста ходит без промптов root больше ни откуда больше не под каким видом зайти не может я могу ходить на сервер либо со своей РС, либо с удаленного доверенного хоста через su По логике дыр нет, пока кто нибудь не потырит закрытые ключи. Ж) Что вобщем сложно , потому как пермишны выставлены по букварю :) Оч надеюсь что я нигде не облажался :) Или может кто меня подправит? ********> а теперь собственно вопрос по dump-у :-) <********* Как ему сказать чтобы он ходил на сервер по SSH, потому как комбинация root@unix2#>dump 0uaf unix1:/dev/nrsa0 /var (например) вызывает у dump-а полнейший ступор, что вобщем не удивительно, потому как он скорее всего пытается лезть по rsh который закрыт по определению :) Best / priest.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: dump over ssh - ? public, DSA, RSA - no password prompt"
	Сообщение от lavr on 19-Фев-03, 19:54  (MSK)
	>>либо используя rsh/rhost авторизацию SSH-1, либо читать в сторону >>пустой pass-phrase, иначе никак. >> >>ps. в SuSE меняли в sources ssh что-то, возвращили взад и делали >> >>по крону через авторизацию rsh/rhosts (hosts.equiv), понятно что между >>этими двумя машинами rsh должен работать, всем остальным фильтровать >>в firewall. Не помню где, есть сайт с обсасыванием подобных вопросов, >>возможно что-то добавили в FAQ'и, я их давно не смотрел и переводы >> >>не дополнял: http://unix1.jinr.ru/~lavr/ > >Это я все читал и вобщем с пользой :) >В результате остановился я на следующей конфигурации (может кому будет  интересно): > >[ /etc/ssh/sshd_config ] > >RhostsAuthentication no >RhostsRSAAuthentication yes >HostbasedAuthentication no >с добавлением открытого ключа удаленного хоста в /etc/ssh/ssh_known_hosts > >[ вот тут я не очень догнал - по идее RhostsRSA... дожен >помимо ssh_known_hosts смортеть еще и в /etc/ssh/shosts.equiv, но он ему очевидно >по большому барабану ] > >Все теперь рут может ходить без промптов. >При чем >PermitRootLogin yes >PasswordAuthentication no >PermitEmptyPassword no > >А чтобы ходить на сервер с рабочей станции >RSAAuthentication yes >c добавлением открытого ключа сгенеренного на РС в ~/.ssh/authorized_keys > >Итого: >root с доверенного хоста ходит без промптов >root больше ни откуда больше не под каким видом зайти не может > >я могу ходить на сервер либо со своей РС, либо с удаленного >доверенного хоста через su > >По логике дыр нет, пока кто нибудь не потырит закрытые ключи. Ж) >Что вобщем сложно , потому как пермишны выставлены по букварю :) > > >Оч надеюсь что я нигде не облажался :) > >Или может кто меня подправит? > >********> а теперь собственно вопрос по dump-у :-) <********* > >Как ему сказать чтобы он ходил на сервер по SSH, потому как >комбинация > >root@unix2#>dump 0uaf unix1:/dev/nrsa0 /var (например) > >вызывает у dump-а полнейший ступор, что вобщем не удивительно, потому как он >скорее всего пытается лезть по rsh который закрыт по определению :) > > >Best / priest. про dump сейчас не помню, остановились на rsync. То что ты описал работает с консоли? с добавлением ключей в память? Если будет время, я посмотрю как делал.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: dump over ssh - ? public, DSA, RSA - no password prompt"
	Сообщение от priest on 19-Фев-03, 20:06  (MSK)
	>про dump сейчас не помню, остановились на rsync. надо маны почитать :) >То что ты описал работает с консоли? с добавлением ключей в память? С консоли .. по идее должно. Я на удаленный хост хожу по тому же SSH только настроенному не пускать рута и на авторизацию по паролю. Потом поднимаюсь до рута по su. Все сделано на ssh_known_hosts и ~/.ssh/authorized_keys. А ключи я в память добавлять не пробовал, если ты про ssh-add. >Если будет время, я посмотрю как делал. Спасибо. Best / priest.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: dump over ssh - ? public, DSA, RSA - no password prompt"
	Сообщение от priest on 20-Фев-03, 12:42  (MSK)
	>про dump сейчас не помню, остановились на rsync. На rsync-е остановиться не получится - он работает только с блочными устройствами и ленточки не понимает как факт :( А мне все надо на ленточку сливать, так что либо dump, либо tar. Но с tar-ом говорят есть проблемы с восстановлением. Иногда говорят с правами бывает каша. Факт мной лично не подтвержденный, но уж больно много предупреждений из разных источников. Так что попробую помучиться с dump - restore. :) Best / priest.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.