[linux-l] Passwort bei rsync

Marek Froehlich marek at samweis.in-berlin.de
So Okt 2 11:31:29 CEST 2011 

On Sat, Oct 01, 2011 at 08:18:53PM +0200, Volker Grabsch wrote:
> Hallo Marek,
[...]
> Marek Froehlich schrieb:
> > backup von A nach B:
[...]
> > - auf B Root-Rechte fuer user rbackup fuer rsync erlauben
> > root at B:/ echo "rbackup ALL=(root)NOPASSWD:/usr/bin/rsync" >> /etc/sudoers
> 
> Welchen Zweck hat der separate rbackup-Account? Da er via
> sudo beliebige Rsync-Kommandos als root ausführen kann, hat
> er im Endeffekt Root-Rechte, bzw. kann sie sich jederzeit
> auf 100 einfachen Wegen beschaffen.
> 
> Somit gaukelt es eine Sicherheit vor, die gar nicht vorhanden
> ist, sowas finde ich gefährlich.

Sehr guter Einwand! Allerdings lag meiner Lösung der Ansatz
zu Grunde, UNTER KEINEN UMSTÄNDEN remote-root-logins zu gestatten:
Root auf Server A soll nicht automatisch root auf Server B werden
können.
Der aufgezeigte Weg über sudo auf B hat Sicherheitsschwächen -
keine Frage:
- ich kann mit rsync beliebige Dateien auf B ueberschreiben,
  z. B. /etc/sudoers ...
- mglw. gelingen mir shell-escapes mit rsync auf B
- ... (Vorschläge?)  

Ich werde mir in den nächsten Tagen mal die man-pages im
Detail vornehmen und ein bisschen testen. Wir können ja
Verbesserungsvorschläge sammeln und Volker "spielt" den
boesen root-admin auf A, der schlimme Dinge auf B mit rsync
anstellen will ;-)

Ein alternativer Ansatz wäre ein rsync-Daemon auf B laufen
zu lassen - pruefe ich auch mal.

> Hat diese Konstruktion irgendeinen Vorteil gegenüber dem
> Eintragen des SSH-Keys direkt für den Root-Account?

wahrscheinlich nur gefühlt - siehe oben.

[...]
> > root at A:/root/keys ssh-keygen -v -t dsa -f rsync-key
> 
> Hier kann man statt "-t dsa" auch "-t rsa" verwenden. Das
> soweit ich weiß Geschmackssache. Soweit mir bekann ist, weiß
> noch keiner genau, welches dieser Verfahren sicherer ist.
[...]
> Oder gibt es inzwischen schon Erkenntnisse, dass eines von
> beiden sicherer ist?

Keine Ahnung, bin kein Sicherheitsexperte. Gibts dazu Meinungen
auf der Liste?


Mit freundlichen Grüßen

Marek Fröhlich
--
/ Marek Fröhlich | Scotty: Captain, hier Maschinenraum. Wir haben ein    \
| 16548 Glienicke|         Problem - ich brauch 2 Tage für die Reparatur.|
| Germany        | Kirk:   Ich geb Ihnen 2 Stunden!                      |
\                | Scotty: Ich schaffs auch in einer. Scotty ende.       /

Mehr Informationen über die Mailingliste linux-l