Sunucumu yedeklemek için, SSH üzerinden uzaktan erişmek istiyorum. Tüm riskleri en aza indirmek için, sadece okuma erişimi olan, ancak kök gibi tüm dosyalara sahip bir kullanıcı kullanmak istiyor. Ancak, yazma hakkı olmamalıdır.
Bunu nasıl başaracağınıza dair bir fikrin var mı?
Yanıtlar:
Sorununuzu çözmek için daha az bakım gerektiren başka bir yöntem önerebilir miyim.
Belirli programlara sınırlı erişimi olan ssh anahtarları oluşturabilirsiniz. Kök sınırsız erişim izni vermekten hoşlanmıyorum, ancak bazen belirli komutların uzaktan çalıştırılmasını etkinleştirmeniz gerekir. Ssh tuşları ile yedekleme programınızı ssh komutu ile çalıştırabilirsiniz.
Sshd man sayfanızdaki 'AUTHORIZED_KEYS DOSYA BİÇİMİ' bölümüne bakın (OpenSSH kullandığınızı varsayıyorum).
rsynctüm no-*özetlendiği gibi -options adama güvenli olmalıdır. Özellikle no-Pty ile birlikte gelen güvenliğini artırmak için iyi bir başlangıçtır. Örnek:from="the_pulling_hostname_or_IP",no-pty,...
ACL'leri kullanmadan bunu oluşturmanın bir başka yolu daha var. Ama burada dikkatli olmalısın. İlk olarak, örneğin, kök (salt okunur kök) adı verilen bir grup oluşturun. Sonra bu grup kimliğini tüm dizinlere uygulayın. Grup bitlerinin r - veya 400 sekizlik olmasına izin verin, ardından sıradan bir kullanıcı gibi bir kullanıcı hesabı oluşturabilirsiniz, örneğin rorootusr, bir sonraki kimlik sisteminizde ne olursa olsun, yalnızca bir grup kökünün üyesi olarak, gruplarınızın kurulumunuzda ne olduğuna bağlı olarak tekerleğin, çöp kutusunun vb. Bir sonraki bit kludgy olacak. / Etc / passwd dosyasını vim / nano / emacs / joe / herhangi bir düzenleyici teknenizi sallıyorsa kullanarak açın ve yeni oluşturduğunuz kimliği arayın, yani. rorootusr, passwd dosyası şöyle görünecektir
Kök: x: 0: 0 :: / root: / bin / sh
Soldan sağa iki nokta üst üste işaretiyle okuma, kullanıcı adı, şifre (şifreli + gölgeli), kullanıcı kimliği, grup kimliği, yorum, giriş dizini ve kabuğuna sahiptir. Yukarıdaki örnekten
rorootusr: x: 512: 450: Kök Kullanıcı RO: / home / rorootusr: / bin / bash
Onu 0 olarak değiştirdiğiniz 3. alan (512), kök için grup kimliği olacaktır. Düzenleme oturumunu kaydedin ve işiniz bitti. Şimdi rorootusr kök erişimine sahip olacak, ancak sadece grup kökünün bir üyesi olacak ve sisteme salt okunur erişime sahip olacak.
Umarım bu yardımcı olur, Saygılarımla, Tom.