2
Spezielle User für Rsync anlegen? Berechtigungen?
Hallo,
ich möchte per Rsync Daten von zwei in freier Wildbahn stehenden Servern, Quelle und Ziel, transferieren.
Beide Server lassen Anmeldungen per SSH nur für jeweils 1 user (auf beiden Servern gleich) zu, nur per Key, kein PW, kein root. etc.
Ich habe auf Quelle einen neuen Key "rsyncuser" erstellt.
Auf Ziel den User rsyncuser angelegt und dort in die authorized_keys den Public Key eingefügt.
Auf Ziel in /etc/ssh/sshd_config noch den rsyncuser aufgenommen
Verbindung klappt, Daten werden tranferiert.
Fragen:
Welche Rechte soll ich dem rsyncuser auf Zeil am besten geben?
Wie kann man einstellen, dass rsyncuser auf Ziel nur rsync machen darf, und sonst nix?
Kann hier jemand weiterhelfen?
Danke
ich möchte per Rsync Daten von zwei in freier Wildbahn stehenden Servern, Quelle und Ziel, transferieren.
Beide Server lassen Anmeldungen per SSH nur für jeweils 1 user (auf beiden Servern gleich) zu, nur per Key, kein PW, kein root. etc.
Ich habe auf Quelle einen neuen Key "rsyncuser" erstellt.
Auf Ziel den User rsyncuser angelegt und dort in die authorized_keys den Public Key eingefügt.
Auf Ziel in /etc/ssh/sshd_config noch den rsyncuser aufgenommen
AllowUsers andereruser rsyncuserFragen:
Welche Rechte soll ich dem rsyncuser auf Zeil am besten geben?
Wie kann man einstellen, dass rsyncuser auf Ziel nur rsync machen darf, und sonst nix?
Kann hier jemand weiterhelfen?
Danke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671282
Url: https://administrator.de/forum/spezielle-user-fuer-rsync-anlegen-berechtigungen-671282.html
Ausgedruckt am: 11.02.2025 um 16:02 Uhr
2 Kommentare
Neuester Kommentar
Huhu @U08154711
nur für diese Aufgabe einen extra User anzulegen ist erst einmal nicht verkehrt. Dieser User muss dannn aber wenigstens read-onlly-rechte auf alle Daten des quellservers haben, die er dort abholen soll und schreibrechte auf alle Bereiche des Zielrechners haben, wo die Daten hin sollen.
Kreuzberger
nur für diese Aufgabe einen extra User anzulegen ist erst einmal nicht verkehrt. Dieser User muss dannn aber wenigstens read-onlly-rechte auf alle Daten des quellservers haben, die er dort abholen soll und schreibrechte auf alle Bereiche des Zielrechners haben, wo die Daten hin sollen.
Kreuzberger
- Dem User keine Shell geben sondern bspw. als Shell /usr/bin/nologin
usermod -s /usr/bin/nologin rsyncuser- In der sshd_config für den User aussdchließlich sftp erlauben und den User in sein homedir chrooten z.B.
Match User rsyncuser
ChrootDirectory /home/rsyncuser
ForceCommand internal-sftp
AuthenticationMethods publickey- Und natürlich die Schreibrechte entsprechend am Ziel anpassen bzw. User in entsprechenden Gruppen zum Mitglied machen. Und Chroot-Verzeichnissrechte anpassen damit Login mit Public Key beim rooten des Verzeichnisses noch klappt. Dann noch das Datenzielverzeichnis in das Chroot-Dir per Symlink verlinken. Dann bist du schon mal einiges sicherer. Der verantwortungsvolle Linux-Admin erstellt dann zusätzlich noch least privilege SELinux Policies für den User.
Gruß m.
2
