Eu tenho esse comando para fazer backup de uma máquina remota. O problema é que eu preciso de direitos de root para ler e copiar todos os arquivos. Não tenho usuário root habilitado por razões de segurança e uso sudoo modo Ubuntu. Eu precisaria de alguma tubulação legal ou algo para fazer isso?
rsync -chavzP --stats user@192.168.1.2:/ /media/backupdisk/myserverbackup/
Respostas:
Eu recomendaria que você usasse a conta root em primeiro lugar. Se você configurá-lo assim:
sshd_configna máquina de destino para PermitRootLogin without-password.ssh-keygenna máquina que executa o backup para criar uma chave privada SSH (somente se você ainda não tiver uma chave SSH). Não defina uma senha. Google um tutorial, se você precisar de detalhes para isso, deve haver uma abundância./root/.ssh/id_rsa.pubmáquina de backup ao /root/.ssh/authorized_keysda sua máquina de destino.a configuração resultante deve ser bastante segura.
sudo, especialmente combinado com NOPASSWDo recomendado nos comentários, não possui benefícios de segurança ao usar apenas a conta raiz. Por exemplo, esta sugestão:
adicione o seguinte ao seu
/etc/sudoersarquivo:rsyncuser ALL= NOPASSWD:/usr/bin/rsync
essencialmente dá rsyncuserpermissões de root de qualquer maneira. Você pergunta:
@MartinvonWittich Fácil de obter um shell raiz completo porque
rsyncexecutado comsudo? Caminhe [m] e [por] isso por favor.
Bem, simples. Com a configuração recomendada, rsyncuseragora pode ser executado rsynccomo root sem sequer ser solicitada uma senha. rsyncé uma ferramenta muito poderosa para manipular arquivos, então agora rsyncusertem uma ferramenta muito poderosa para manipular arquivos com permissões de root. Encontrar uma maneira de explorar isso levou apenas alguns minutos (testado no Ubuntu 13.04, requer dash, bashnão funcionou):
martin@martin ~ % sudo rsync --perms --chmod u+s /bin/dash /bin/rootdash
martin@martin ~ % rootdash
# whoami
root
# touch /etc/evil
# tail -n1 /etc/shadow
dnsmasq:*:15942:0:99999:7:::
Como você pode ver, eu criei um shell raiz; whoamiidentifica minha conta como raiz, posso criar arquivos /etce posso ler /etc/shadow. Minha exploração foi definir o bit setuid no dashbinário; faz com que o Linux sempre execute esse binário com as permissões do proprietário, neste caso raiz.
Ter uma raiz real não é [recomendado] por boas razões. - redanimalwar 15 horas atrás
Não, trabalhar desajeitadamente na conta raiz em situações em que é absolutamente apropriado usá-la não é por boas razões. Essa é apenas outra forma de programação de cultos de carga - você realmente não entende o conceito por trás do sudo x root, aplica cegamente a crença de que "a raiz é ruim, o sudo é bom" porque você leu em algum lugar.
Por um lado, há situações em que sudodefinitivamente é a ferramenta certa para o trabalho. Por exemplo, quando você está trabalhando interativamente em uma área de trabalho gráfica do Linux, digamos Ubuntu, então é necessário ter sudobom uso nos casos raros em que às vezes você precisa de acesso root. O Ubuntu intencionalmente possui uma conta root desabilitada e obriga a usar sudopor padrão para impedir que os usuários sempre usem a conta root para efetuar login. Quando o usuário apenas deseja usar, por exemplo, o navegador da Web, fazer login como root seria uma coisa perigosa. e, portanto, não ter uma conta root por padrão impede que pessoas estúpidas façam isso.
Por outro lado, há situações como a sua, em que um script automatizado requer permissões de root para algo, por exemplo, para fazer um backup. Agora, usar sudoa solução para a conta raiz não é apenas inútil, também é perigoso: à primeira vista, rsyncuserparece uma conta comum e sem privilégios. Mas, como eu já expliquei, seria muito fácil para um invasor obter acesso root completo se ele já tivesse rsyncuseracesso. Portanto, agora você tem uma conta root adicional que não se parece com uma conta root, o que não é uma coisa boa.
/root/.ssh/authorized_keys, ou até mesmo criar várias contas de raiz com diferentes casas de modo que cada usuário pode ter sua própria concha, casa e .ssh/authorized_keys:)
sshdgeralmente faz não log que autorizou chave foi usada para conectar a uma conta, por isso, se você se conectar como bob, em seguida sudo, você tem uma trilha de auditoria melhor do que se você ligar para rootdiretamente com bob's chave.
Utilize a --rsync-pathopção para executar o rsynccomando remoto com sudoprivilégios. Seu comando deve ser, por exemplo:
rsync -chavzP --rsync-path="sudo rsync" --stats user@192.168.1.2:/ .
Se sudovocê solicitar uma senha, será necessário evitar isso usando um NOPASSWDprivilégio com a conta de usuário remoto (inútil para raiz, pode fazer sentido em outros casos de uso) ou se você não quiser:
Verifique se a opção tty_ticketsestá desativada para o usuário que você está usando, executando, por exemplo, sudo visudo -f /etc/sudoers.d/local-rsync
e digitando:
Defaults:your.username.for.rsync !tty_tickets
Verifique se a opção requirettyestá desativada para o usuário que você está usando - ela pode estar desativada por padrão. O método é o mesmo que acima.
Propague a sudosenha na máquina remota executando, por exemplo,
ssh -t user@192.168.1.2 sudo
sudosenha, não a sshsenha
sudo /usr/bin/rsyncsolicite uma senha; verifique man sudoerscomo fazer isso; convém criar um usuário de backup extra para isso.
sudo /usr/bin/rsynca execução sem a necessidade de senha, adicione o seguinte ao seu /etc/sudoersarquivo: rsyncuser ALL= NOPASSWD:/usr/bin/rsyncIsso permitirá ao usuário rsyncuser (como mencionado acima, seria melhor criar um usuário de backup dedicado) com o nome de usuário desejado.
rsyncbasicamente sempre tem permissões de root; provavelmente é muito fácil obter um shell raiz completo nessa conta. Eu acho que é melhor usar apenas a conta raiz real em primeiro lugar.
echo "password" | somethingeu realmente nunca usei isso e concordo com os problemas de segurança que vêm deixando a execução sudoless do rsync (também não sugerida aqui) é ruim. O tty_ticketsque eu realmente não tenho idéia, parece necessário e um problema de segurança. Isso funcionaria com segurança, sem alterar nada, apenas executando o sodo no ssh e executando o comando, certo? Mas desde que fiz essa pergunta para fins de script, concordo totalmente que o ssh baseado em chave sem pw é o seguro e o correto a fazer. Aceitei a resposta de Martins.
Uma maneira simples de fazer isso é usar o ssh-askpassprograma gráfico sudo, isso evita o fato de que sudonão está conectado ao terminal e permite que você digite a senha com segurança:
rsync -chavzPe 'ssh -X' --stats \
--rsync-path='SUDO_ASKPASS=/usr/lib/ssh/x11-ssh-askpass sudo -A rsync' \
user@192.168.1.2:/ .
Obviamente, o ssh-askpassprograma deve ser instalado no local especificado e você deve estar executando uma sessão X na máquina em que está trabalhando. Existem algumas variações no ssh-askpassprograma que também devem funcionar (versões do Gnome / KDE). Também um sudoprograma de substituição gráfica como gksuou kdesudotambém deve funcionar.
rsync --rsh='ssh -X' --rsync-path='gksudo -- rsync' user@host:/ .não funciona rsync error: syntax or usage error (code 1) at main.c(1634) [server=3.1.1]. Ah, o ubuntu envia gnome-ssh-askpass, mas é /usr/bin/ssh-askpass, em vez de /usr/lib/ssh/x11.... Assim que funcionou :)
ssh-askpass. Eu só tinha que procurar o significado de -chavzPe, seria ótimo explicar isso como opções longas.
xeyesusando o SSH.
Se o seu usuário já possui privilégios de sudo protegidos por uma senha, eu os manteria como estão e apenas adicionaria uma estrofe para usar o rsync sem uma senha:
%admin ALL=(ALL) ALL
%admin ALL= NOPASSWD:/usr/bin/rsync
Encontrei esse problema hoje e o resolvi sem a necessidade de modificar arquivos de configuração ou conceder permissões no nível raiz a contas de usuário. Minha configuração específica era que o usuário Ana máquina footinha que copiar todos os diretórios do usuário foopara a máquina barem um backupdiretório que o usuário Apossuía. (O usuário Atem privilégios de sudo ativados foo.)
O comando que usei está abaixo. Foi chamado pelo usuário Ano /homediretório em foo.
sudo rsync -avu -e "ssh -i /home/A/.ssh/id_rsa -l A" * B:/home/backup
Isso executa o rsync como sudo, para que todos os diretórios do usuário foopossam ser acessados, mas diz ao rsync para usar o ssh para acessar a máquina barusando as Acredenciais do usuário . Minhas necessidades eram um pouco diferentes da pergunta acima, mas isso me permitiu obter rapidamente um backup de todos os diretórios de usuários em uma máquina específica que eu gerencio sem mexer na configuração do sistema.
-iopção de ssh. Você pode usar --rsync-path="sudo /usr/bin/rsync" se tiver sudo na máquina bar. Isso então lê root@fooe escreve como root@bar, mas transfere via A@foo-> B@bar. Obrigado!
A execução do rsync como daemon na máquina de destino permite que você faça o que deseja.
Minha solução é usar, --rsync-path="sudo rsync"mas ele pede senha, solução alternativa:
rsync -chavzP --stats --rsync-path="echo <SUDOPASS> | sudo -Sv && sudo rsync" user@192.168.1.2:/ .
$( cat my_password.txt )qual é um pouco melhor, mas geralmente é preferível configurar as permissões em ambas as extremidades e / ou usar chaves SSH, de modo que as senhas não sejam necessárias na CLI
rootconta em primeiro lugar.sudo, especialmente combinado comNOPASSWDo recomendado nos comentários, não melhora realmente a segurança da sua máquina.