6
Spezielle User für Rsync anlegen? Berechtigungen?
Hallo,
ich möchte per Rsync Daten von zwei in freier Wildbahn stehenden Servern, Quelle und Ziel, transferieren.
Beide Server lassen Anmeldungen per SSH nur für jeweils 1 user (auf beiden Servern gleich) zu, nur per Key, kein PW, kein root. etc.
Ich habe auf Quelle einen neuen Key "rsyncuser" erstellt.
Auf Ziel den User rsyncuser angelegt und dort in die authorized_keys den Public Key eingefügt.
Auf Ziel in /etc/ssh/sshd_config noch den rsyncuser aufgenommen
Verbindung klappt, Daten werden tranferiert.
Fragen:
Welche Rechte soll ich dem rsyncuser auf Zeil am besten geben?
Wie kann man einstellen, dass rsyncuser auf Ziel nur rsync machen darf, und sonst nix?
Kann hier jemand weiterhelfen?
Danke
ich möchte per Rsync Daten von zwei in freier Wildbahn stehenden Servern, Quelle und Ziel, transferieren.
Beide Server lassen Anmeldungen per SSH nur für jeweils 1 user (auf beiden Servern gleich) zu, nur per Key, kein PW, kein root. etc.
Ich habe auf Quelle einen neuen Key "rsyncuser" erstellt.
Auf Ziel den User rsyncuser angelegt und dort in die authorized_keys den Public Key eingefügt.
Auf Ziel in /etc/ssh/sshd_config noch den rsyncuser aufgenommen
AllowUsers andereruser rsyncuserFragen:
Welche Rechte soll ich dem rsyncuser auf Zeil am besten geben?
Wie kann man einstellen, dass rsyncuser auf Ziel nur rsync machen darf, und sonst nix?
Kann hier jemand weiterhelfen?
Danke
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671282
Url: https://administrator.de/forum/spezielle-user-fuer-rsync-anlegen-berechtigungen-671282.html
Ausgedruckt am: 25.03.2025 um 18:03 Uhr
6 Kommentare
Neuester Kommentar
Huhu @U08154711
nur für diese Aufgabe einen extra User anzulegen ist erst einmal nicht verkehrt. Dieser User muss dannn aber wenigstens read-onlly-rechte auf alle Daten des quellservers haben, die er dort abholen soll und schreibrechte auf alle Bereiche des Zielrechners haben, wo die Daten hin sollen.
Kreuzberger
nur für diese Aufgabe einen extra User anzulegen ist erst einmal nicht verkehrt. Dieser User muss dannn aber wenigstens read-onlly-rechte auf alle Daten des quellservers haben, die er dort abholen soll und schreibrechte auf alle Bereiche des Zielrechners haben, wo die Daten hin sollen.
Kreuzberger
- Chroot-Dir erstellen, mit ausschließlich bash und rsync und dessen Abhängigkeiten in /usr/lib (ldd command)
- In der sshd_config den User in sein homedir chrooten z.B.
Match User rsyncuser
ChrootDirectory /home/rsyncuser
AuthenticationMethods publickey- Und natürlich die Schreibrechte entsprechend am Ziel anpassen bzw. User in entsprechenden Gruppen zum Mitglied machen. Und Chroot-Verzeichnissrechte anpassen damit Login mit Public Key beim rooten des Verzeichnisses noch klappt. Dann noch das Datenzielverzeichnis in das Chroot-Dir per Symlink verlinken. Dann bist du schon mal einiges sicherer. Der verantwortungsvolle Linux-Admin erstellt dann zusätzlich noch least privilege SELinux Policies für den User.
Gruß m.
2
Zitat von @kreuzberger:
Huhu @U08154711
nur für diese Aufgabe einen extra User anzulegen ist erst einmal nicht verkehrt. Dieser User muss dannn aber wenigstens read-onlly-rechte auf alle Daten des quellservers haben, die er dort abholen soll und schreibrechte auf alle Bereiche des Zielrechners haben, wo die Daten hin sollen.
Kreuzberger
Huhu @U08154711
nur für diese Aufgabe einen extra User anzulegen ist erst einmal nicht verkehrt. Dieser User muss dannn aber wenigstens read-onlly-rechte auf alle Daten des quellservers haben, die er dort abholen soll und schreibrechte auf alle Bereiche des Zielrechners haben, wo die Daten hin sollen.
Kreuzberger
Wenn ich nur Daten von Quelle auf Ziel schiebe, braucht er doch auf Quelle keine Rechte. Auf Quelle existiert def Usef auch gar nicht. Und so funktioniert es auch
Zitat von @151512:
Gruß m.
- Chroot-Dir erstellen, mit ausschließlich bash und rsync und dessen Abhängigkeiten in /usr/lib (ldd command)
- In der sshd_config den User in sein homedir chrooten z.B.
Match User rsyncuser
ChrootDirectory /home/rsyncuser
AuthenticationMethods publickey- Und natürlich die Schreibrechte entsprechend am Ziel anpassen bzw. User in entsprechenden Gruppen zum Mitglied machen. Und Chroot-Verzeichnissrechte anpassen damit Login mit Public Key beim rooten des Verzeichnisses noch klappt. Dann noch das Datenzielverzeichnis in das Chroot-Dir per Symlink verlinken. Dann bist du schon mal einiges sicherer. Der verantwortungsvolle Linux-Admin erstellt dann zusätzlich noch least privilege SELinux Policies für den User.
Gruß m.
Danke aber zu viel Info komprimiert auf einmal
Danke aber zu viel Info komprimiert auf einmal
Was ein Admin aber durchaus dazu nutzen kann um sich selbst auch etwas in die Materie einzulesen, wir sind ja nicht deine Mama die dir das Betthupferl ans Bettchen bringt 😋 ...
Ich hab nicht gesagt, dass ich mich nicht einlese. Aber halt Stück für Stück
