rsync-Problem

[markusk]

Hallo!

Ich habe rsync installiert nach dieser Anleitung. Leider kommt beim Starten des Transfers mit

Code: Select all

> rsync --verbose  --stats --compress --rsh=/usr/bin/ssh 
>       --recursive --times --perms --links --delete 
>       --password-file=/root/rsync_pwd 
>       /backup/* rootserver@backup.server::rootserver_backup

folgende Warnung:

WARNING: --rsh or -e option ignored when connecting to rsync daemon

Kann mir da jemand helfen? Das ist doch dann keine sichere Verbindung mehr, oder?

Gruß, Markus

[floschi]

Richtig.

Rsync kannst du auf zwei Möglichekiten betrieben,

a) du verbindest dich mit einem rsync-Daemon, der dir freigegebene Module anbietet. Dann nutzt du Verbindungen mittels rsync-Protokoll auf Port 783. Vorteil: auf dem Server werden keine lokalen Benutzer benötigt.

b) du verwendest auf beiden Seiten lokale Benutzer, die sich mit ssh einloggen können und rsync nutzt als Protokoll ssh. Vorteil: verschlüsselte Verbindungen.

Zu mir:

a) nutze ich bei einem meiner Provider, der auf seinem Backupserver einen rsyncd anbietet. Der Server ist nicht im Internet verfügbar.

b) nutze ich bei meinem anderen Provider, um auf einen weiteren Server meine Backups zu legen.

[markusk]

Und was muss ich an der rsync-config ändern, damit die Synchronisation per SSH ablaufen kann? Als User habe ich dort "root" eingetragen, aber wie es scheint, hat dies ja keinen Erfolg!?

[floschi]

Das Prinzip ist anders.

Entweder du willst gegen einen Rsync-Daemon synchronisieren, oder du benötigtst remote einen lokalen Benutzer, der sich mit ssh ansprechen lässt.

Was von beidem willst du denn letzteendlich bzw. was ist möglich? Root dürfte aber auf jeden Fall die denkbar schlechteste Wahl sein ;)

[markusk]

hm... dann ist vielleicht die faq etwas fälschlich formuliert.

Mein Ziel ist es, ein Backup von Server1 auf Server2 zu übertragen. Sinnvollerweise sollte dies dann verschlüsselt sein, da es wie gesagt ein Backup ist.

Wie habe ich hier vorzugehen?

[floschi]

Gut, denn das mache ich ja auch so:

http://www.rootforum.org/faq/index.php? ... 61&lang=de

Ist noch Nacharbeit nötig, aber an sich selbsterklärend ;)

[markusk]

Super, Danke! Nur eine Sache: Vielleicht steh ich auch grad auf dem Schlauch: Was ist mit dem ssh-Kennwort, wo gebe ich das ein?

Gruß, Markus

[captaincrunch]

Gar nicht. Das wird samt und sonders über PubKeys gehandhabt.

[markusk]

Kann man sich hier nicht auch per Kennwort einloggen? Wie ich das mit Public Keys realisieren sollte ist mir nämlich leider nicht ganz einleuchtend... :/

[markusk]

ok, hab da was. werd ich mal ausprobieren:

http://www.rootforum.org/faq/index.php? ... 38&lang=de
Auf jeden Fall schonmal Danke!

[markusk]

Also ich habe jetzt nach der Anleitung die beiden keys erstellt, den .pub dann auf den backup-server in /root/.ssh/authorized_keys kopiert. Auf dem Backup-Server habe ich einen User angelegt mit Shell-Zugriff, der Login per Passwort von meinem Home-Rechner klappt auch.

Mit dem rsync-Befehl aus deiner FAQ kommt gleich eine Passwort-Abfrage, warum benutzt er hier nicht den key?

gruß, Markus

[floschi]

Erster Fehler:

Warum nutzt du den Root-User auf deinem _Backup_-Server? Da reicht ein unprivilegierter völlig aus, er muss eben nur ein ausreichend großes Homeverzeichnis haben. Niemals root für soetwas nehmen, jeder Angreifer freut sich, gleich noch einen zweiten Root-Account zu bekommen!

Versuche einmal, dich von dem zu sichernden Rechner auf den Backuprechner mit ssh -v user@host zu verbinden und warte die Ausgaben ab, wo es hakt - ohne Fehlermeldungen kann dir wohl keiner helfen.

Evtl. falsches Format oder Zeilenumbrüche in der authorized_keys? Evtl. braucht der authorized_keys2 als Dateinamen? Evtl. sind die Dateirechte falsch?

[markusk]

Wieso kommst du darauf, dass der User auf dem Backup-Server root-Rechte hat? Ich habe nur einen simplen User angelegt.

Die anderen Sachen überprüf ich und meld mich dann wieder.

Gruß, Markus

[floschi]

Also ich habe jetzt nach der Anleitung die beiden keys erstellt, den .pub dann auf den backup-server in /root/.ssh/authorized_keys kopiert.

Daher die Vermutung, dass du root verwendest auf deinem Backupserver. Ansonsten wäre der richtige Ort die Datei $HOME/.ssh/authorized_keys ;)

[markusk]

Das ist die Ausgabe. Zum Schluss will er das Passwort... :/

# ssh -v user@host
OpenSSH_3.4p1, SSH protocols 1.5/2.0, OpenSSL 0x0090607f
31640: debug1: Reading configuration data /etc/ssh/ssh_config
31640: debug1: Applying options for *
31640: debug1: Rhosts Authentication disabled, originating port will not be trusted.
31640: debug1: ssh_connect: needpriv 0
31640: debug1: Connecting to host [123.123.123.123] port 22.
31640: debug1: Connection established.
31640: debug1: identity file /root/.ssh/identity type -1
31640: debug1: identity file /root/.ssh/id_rsa type 1
31640: debug1: identity file /root/.ssh/id_dsa type -1
31640: debug1: Remote protocol version 2.0, remote software version OpenSSH_3.4p1 Debian 1:3.4p1-1.woody.3
31640: debug1: match: OpenSSH_3.4p1 Debian 1:3.4p1-1.woody.3 pat OpenSSH*
31640: Enabling compatibility mode for protocol 2.0
31640: debug1: Local version string SSH-2.0-OpenSSH_3.4p1
31640: debug1: SSH2_MSG_KEXINIT sent
31640: debug1: SSH2_MSG_KEXINIT received
31640: debug1: kex: server->client aes128-cbc hmac-md5 none
31640: debug1: kex: client->server aes128-cbc hmac-md5 none
31640: debug1: SSH2_MSG_KEX_DH_GEX_REQUEST sent
31640: debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
31640: debug1: dh_gen_key: priv key bits set: 128/256
31640: debug1: bits set: 1639/3191
31640: debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
31640: debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
The authenticity of host 'host (123.123.123.123)' can't be established.
RSA key fingerprint is cb:bb:1b:58:af:9b:71:42:be:ed:80:09:e8:29:20:8f.
Are you sure you want to continue connecting (yes/no)? y
Please type 'yes' or 'no': yes
31640: Warning: Permanently added 'host' (RSA) to the list of known hosts.
31640: debug1: bits set: 1576/3191
31640: debug1: ssh_rsa_verify: signature correct
31640: debug1: kex_derive_keys
31640: debug1: newkeys: mode 1
31640: debug1: SSH2_MSG_NEWKEYS sent
31640: debug1: waiting for SSH2_MSG_NEWKEYS
31640: debug1: newkeys: mode 0
31640: debug1: SSH2_MSG_NEWKEYS received
31640: debug1: done: ssh_kex2.
31640: debug1: send SSH2_MSG_SERVICE_REQUEST
31640: debug1: service_accept: ssh-userauth
31640: debug1: got SSH2_MSG_SERVICE_ACCEPT
31640: debug1: authentications that can continue: publickey,password,keyboard-interactive
31640: debug1: next auth method to try is publickey
31640: debug1: try privkey: /root/.ssh/identity
31640: debug1: try pubkey: /root/.ssh/id_rsa
31640: debug1: authentications that can continue: publickey,password,keyboard-interactive
31640: debug1: try privkey: /root/.ssh/id_dsa
31640: debug1: next auth method to try is keyboard-interactive
31640: debug1: authentications that can continue: publickey,password,keyboard-interactive
31640: debug1: next auth method to try is password
user@host's password:

[markusk]

Ich hab mal folgendes gemacht:

# mv id_rsa identity
# mv id_rsa.pub id_rsa

Jetzt geht's, er will aber die passphrase haben!? Wie kann ich das umgehen? Da könnte ich ja auch gleich das Kennwort eingeben, wenn ich nicht über pubkey authentifiziere...

[markusk]

Oder sollte ich die passphrase beim key-erzeugen weglassen?

[thorsten]

you got it!

[markusk]

Aber das wäre doch dann im Prinzip unsicherer?

[floschi]

Aber das wäre doch dann im Prinzip unsicherer?

Jein.

Wenn du deine Server nur per pubkey betreten kannst, dann benötigt ein Angreifer erstmal Zugang zu deiner lokalen Maschine, um an die Pubkeys zu kommen.

Wenn du da eine unsichere Umgebung hast, kannst du immernoch Passphrasen verwenden und gleichzeitig einen ssh-agent (o.ä.) starten, der die einmal beim Systemstart abfragt und den Key dann für die laufende Sitzung vorhält.

[thorsten]

Es gibt die Möglichkeit den ssh-agent einzubinden, der muß aber nach einem reboot wieder manuell mit den PWs gefüttert werden.

Links zum Thema:
http://www.linux-magazin.de/Artikel/aus ... h/ssh.html
http://www.linux-magazin.de/Artikel/aus ... enssh.html
http://www.linux-magazin.de/Artikel/aus ... H/SSH.html
usw.

[markusk]

ok. super! Danke für die Infos.