Cadangkan melalui SSH melalui Cron - pengguna yang mana?


1

Saya ingin menggunakan rsync untuk secara teratur mencadangkan konten dari situs web produksi ke server cadangan. Konten yang ditransfer dari sistem jarak jauh memiliki beragam izin dan pemilik yang ditugaskan. Apakah saya perlu menggunakan root untuk melakukan ini? Apakah ada cara untuk menetapkan pengguna lain dengan hak istimewa tinggi untuk tugas ini?

Pembaruan: Kedua mesin menjalankan Ubuntu 12.04 Server.

ssh  backup  rsync  cron 

Anda lupa menyebutkan OS yang Anda gunakan. Umumnya root diperlukan, tetapi beberapa OS berbeda.
Cry Havok

Jawaban:


0

Opsi lain, jika Anda ingin menghindari mengizinkan masuk jarak jauh untuk seseorang dengan UID 0, mungkin seperti ini:

  • tahap pencadangan host jarak jauh di direktori lokal pada host jarak jauh itu (sebagai root)
  • masih sebagai root, tambahkan ACL untuk memberikan akses pengguna cadangan (tidakrivil) ke semua yang ada di dalam direktori cadangan ( setfacl -R -m u:backup:rwx /PATH/TO/staging_dir)
  • sebagai pengguna cadangan rsync direktori cadangan ke komputer lokal Anda ( rsync -aH REMOTE:/PATH/TO/staging_dir /LOCAL/backup_dir)
  • hapus isi direktori pementasan

Kelemahan dari pendekatan ini adalah Anda harus mengoordinasikan pementasan pada host jarak jauh dan rsync pada komputer lokal Anda. Anda dapat meminta skrip cadangan jarak jauh membuat penanda di direktori home pengguna cadangan setelah pementasan selesai, dan meminta skrip rsync menghapus penanda setelah sinkronisasi selesai.


-1

Anda dapat membuat pengguna dengan uid of 0. Itu berarti hak istimewa yang setara dengan pengguna root, tetapi menggunakan nama yang berbeda. Walaupun ini hanyalah akun 'root' lainnya, ia menyediakan beberapa cara keamanan dengan ketidakjelasan (bukan keamanan nyata).

Untuk melakukan ini, paksa useradddengan opsi --non-uniqueopsi, jika tidak mencegah Anda untuk membuat pengguna berbagi uid.


Anda tidak akan dapat membuat pengguna ini karena root sudah memiliki UID itu.
jackweirdy

1
@ jackweirdy Anda bisa. Lihat halaman manual useradd. Saya telah memperbarui jawaban saya sesuai dengan itu.
gertvdijk

Saya berdiri dikoreksi! :) Masih mungkin ide yang buruk dari sudut pandang keamanan karena menggunakan hak pengguna root
jackweirdy
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.