[linux-l] Re: [linux-l] ssh als Transportmedium für rsync ohne Passworteingabe

Steffen Dettmer steffen at dett.de
Fr Mai 31 11:04:12 CEST 2002


* Volker Kroll wrote on Thu, May 30, 2002 at 15:57 +0200:
> On Thu, 2002-05-30 at 15:39, Carsten Springenberg wrote:
> > Die Frage ist nur wie? Mit Passwort klappt's soweit ganz gut, da das
> > ganze aber ohne User-Input im Hintergrund passieren muss, ist das leider
> > nicht die Lösung.
> 
> Du mußt in der ~/.ssh/authorized_keys2 deinen Key eintragen.

Also den Samba-Rsync-Key.

> Wenn Du diesen ohne PW erstellt hast, mußt Du kein PW mehr
> eingeben.

also ssh-keygen -t dsa -C 'Restricted Samba Key' -b 1024 -N '' -P '' -f
id_samba_restricted

und was Du noch so brauchst. man ssh-keygen :)

Den packst Du dann in ~/.ssh/authorized_keys2 auf dem Zielserver,
schreibst natürlich bei command="" rsync mit den ganzen
Parameters (siehe logfile) mit rein.

Wenn es ein bißchen sicherer sein soll, würde ich lieber
"pollen". Der BDC kriegt dann den Key, und connected zum PDC.
Dort steht der key in authorized mit dem Kommando cat
/etc/smbpasswd (wenn Du meherer Files hast, gibt's auch tar und
so). from="" muß auch noch in authorized_keys2.

Wenn der BDC ssh mit dem key auf den PDC kriegt es also das file.
Gut dann nimmste noch einen cronjob in der Art von 

(in sicherem Verzeichnis:)

ssh $KEY_PARAMS samba at pdc > smbpasswd.new
if [ -s smbpasswd.new ] ; then
	cp /etc/smbpasswd smbpasswd.bak.`date +%Y-%m-%d_%H:%M`
	#was braucht smb? mv und restart? 
	#mv smbpasswd.new /etc/smbpasswd ; killall -HUP smbd
	#oder reicht es, den inode leben zu lassen:
	cat smbpasswd.new > /etc/smbpasswd
	#kriegst DU ja raus
fi

Wenn jemand den Key komrumpiert, kann er nur die smbpasswd mit
verschlüsselten Passwörtern klauen. Er hat keinen root Zugang und
nichts. Er kann nur diese Datei angucken. Das ist besser, als
rsync und so, weil dann kann ein Angreifer mit dem Key ja Dateien
*schreiben*. Stimmt, nicht?

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.



Mehr Informationen über die Mailingliste linux-l