пятница, 12 декабря 2008 г.

SSH для бэкапов и мониторинга: ограничиваем доступ.

“Бэкап - акт проявления трусости” (c) народная мудрость

Я труслив :) Во-первых, я делаю бэкапы. Во-вторых, я их боюсь передать без шифрования и, в третьих, эпизодически и храню их зашифрованными.

Как правильно создать передачу бэкапов с одного сервера на другой? Дампы сего блога у меня передаются по http. Они зашифрованны, да и в отрыве ценных данных в этом месте нет, вследствие http меня не смущает. А как пристроиться с данными по-важнее? Конечно, ssh. А как при этом выдать волчий билет пользователю исполнять какие-либо действия, исключая как копирования к себя бэкапа? Представим себя, что бэкап-сервер находится во вражеском дата-центре или строго вы не можете проконтролировать к нему доступ (в т.ч. предметный). Нас выручит опция command файла authorized_keys.

Примерно сказать, иначе будет то необходимо оделить доступ только к файлу backup.tgz, то в authorized_keys в самом начале соответствующей строки можно дописать следующее “command=’cat backup.tgz’”. Данный момент при каждом коннекте пора и совесть знать безотчетно воплощать в жизнь начальствование cat backup.tgz, вам остается не более чем переадресовать вывод в обложка. Даже если дампов несколько, то позволительно написать непросторный скриптик вида:#!/bin/sh
read file
case "$file" in
"foo") cat foo.tgz ;;
"bar") cat bar.tgz ;;
esac И прописать его в качестве команды по умолчанию. Да, не лишним было бы подкинуть опции no-port-forwarding, no-pty и все остальные no-*

В настоящий копировать обложка с удаленной аппаратура годится вот такой командой:echo "foo" | ssh backup@server > foo-`date +%Y-%m-%d`.tgz

Выключая как для бэкапов, такое же решение может подойти и для мониторинга. Когда-либо нагиос стучится на согнанный сервер, ради собрать какую-либо статистику, полный ssh-подступ ему не нужен.

По-моему, все, что я описал лубочно по сложности и как один человек с тем оченно надежно. Так может быть прекратим без надобности дописывать authorized_keys на серверах? Одна запись для себя, любимого, одна для бэкапов, одна для мониторинга.. ой, еще каких-то две.. дальше распространять? :)

К слову, а как не быть ли способы паче филигранно налаживать уровень доступа к ssh?



Привет мир!

Обсуждение главы “

Исследование рынка доменов

Ворам: "Осторожно!"

Подведение итогов уходящего года

Как организовать e-mail рассылку своими силами?

Автор: на

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)