LINUX.ORG.RU
ФорумAdmin

доступы, группы/пользователи

 , , , ,


0

1

Здравствуйте. Написал скрипт для резервного копирования и столкнулся с траблой. Скрипт конектится под определенным пользователем к серваку и сдирает нужные папки. Но он не может все скопировать так как на некоторые папки у него не хватает прав (системные папки). Можно как то создать группу/пользователя с рут правами но только на чтение. Тупо все звучит но надо. Рут закрыт из за секюрности. И всех прав так же давать юзеру нельзя так как в сети будет машина на которой будут ключи к всем машинам да и еще и рут доступ - вообще не комильфо.

Звучит взаимоисключающе, если например ssh_host* доступен только руту, то оно какбэ не спроста. Что толку от вашей «секьюрности» если юзвер сгребет shadow, ключи, &etc ?
А вообще вы в корне неправильно подходите с вопросу бэкапа.

anc ★★★★★ ()
Ответ на: комментарий от anc

Ну а как правильно? + Не юзер, а пользователь который делает бекапы. Логинизация по ключам проходит. Кругом запрет на логин от рута. Сервер бекапа недоступен из сети. По сути он скрыт от всех. Он иногда «просыпается» и рандомно со списка дергает сервера что бы сделать бекап. Бекап делается rsync`ом с ключами au для уменшения нагрузки и ускорения бекапа. Мне дали ответ на офф форуме убунты. Добавить юзверя для бекапа в sudo и выполнять rsync с параметром --rsync-path=«sudo rsync». Не знаю насколько получиться, но скоро проверю.

nomad____1 ()
Ответ на: комментарий от nomad____1

Он иногда «просыпается» и рандомно со списка дергает сервера что бы сделать бекап.
рандомно
бекап

Так вот ты какой «рандом бэкап»... У меня нет слов.

anc ★★★★★ ()
Ответ на: комментарий от anc

почему нет? что такого страшного я написал. да ппц. так просто с каждого сервера делается бекап каждый день в разное время. И что тут такого?

bareos если не ошибаюсь таже бакула. Печаль но надо свое(

nomad____1 ()
Ответ на: комментарий от nomad____1

почему нет? что такого страшного я написал. да ппц. так просто с каждого сервера делается бекап каждый день в разное время. И что тут такого?

Вот это пояснение уже понятно. А так, как написали ранее - так я и понял.

anc ★★★★★ ()
Ответ на: комментарий от nomad____1

Вы не правы вообще к подходу. Попробую пояснить, например на удаленном серваке у вас крутиться субд в которую пишутся данные, при тупом копировании файлов вы получите битую копию, которая нах никому не нужна, тоже будет с любым файлом который в этот момент писался.

anc ★★★★★ ()
Ответ на: комментарий от anc

Если вас уж настолько прибило накостылить свое, и при этом не давать пользователю рут доступ к удаленным сервакам. Первое что приходит в голову создавайте локальные копии «рутовых» каталогов/файлов по крону, а потом их сгребайте.

anc ★★★★★ ()
Ответ на: комментарий от anc

согласен. но для БД то будут сниматся локально дампы которые скриптом будут как и файлы сдиратся. По поводу записи то да. Возможно будут битые. Но главное вытащить как можно больше конфигов. В конфиги то писаться ничего не будет. Просто решено сдирать полностью каталог из за того что неизвестно что понадобиться + папки etc должно быть достаточно для того чтобы быстро пересетапить какой то сервер или восстановить конфиги/полностью каталог. Относительно записи в файл то логи будут частично битыми хотя рсинк должен просто стащить файл с содержимым на момент начала считывания. И лог должен получиться не полным но читаемым.

nomad____1 ()
Ответ на: комментарий от nomad____1

А не легче ли сделать так. Собственно локально проверять файлы на изменение, каждый день копию нужного измененного файла бэкапить в директорию напимер dirname с нужными правами. Затем клиентский юзер, который имеет право на чтение и перезапись только этой директории будет выкачивать оттуда бэкапы. Тогда можно даже сделать проверку на стороне сервера, на целостность бэкапов и сделать фильтр проверок на клиентского пользователя. То есть его ip, port, username, group и там что еще может быть.

gssomi ★★ ()

создать группу/пользователя с рут правами но только на чтение

man capabilities /READ. Говорят, с 2.4.6 работает setcap.

DonkeyHot ★★★★★ ()
Ответ на: комментарий от gssomi

мне на офф убунте отписали

------------ Тогда все таки настроить sudo на сервере, а на бакапе запускать rsync с параметром --rsync-path=«sudo rsync» ------------

я думаю стоит проверить. должно помочь.

nomad____1 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.