LINUX.ORG.RU
ФорумAdmin

Настройка пользователей для безопасных бэкапов

 , ,


0

1

Привет, друзья! Есть задача: Бэкап данных с server$N на storagehdd где $N - от 1 до 10

Для бэкапа использую syncd по ключу, удаленный сервер загружает бэкап на storagehdd

Чтобы все максимально обезопасить (на случай взлома server$N) - я создаю ряд пользователей и групп.

#Создаю общего пользователя
useradd -d /var/backup -s /sbin/nologin backup
#Помещаю sshd в группу backup, дабы ограничить директорию в правах только для владельца и группы
usermod -a -G backup sshd
#Назначаю владельца:группу директории
chown backup:backup /var/backup
#Выдаю все разрешения владельцу и группу на директорию
chmod 0770 /var/backup

#Создаю пользователя server1 в общей директории
useradd -d /var/backup/server1 server1
#Помещаю sshd в группу пользователя
usermod -a -G server1 sshd
#Назначаю владельца:группу директории
chown server1:server1/var/backup/server1
#Выдаю все разрешения владельцу и группу на директорию
chmod 0770 /var/backup/server1
Я бы мог продолжить дальше, тк есть еще 1 поддиректория, но проблема встречается уже здесь.
#создаю директорию и помещаю ssh ключ
mkdir /var/backup/server1/.ssh
cat >/var/backup/server1/.ssh/authorized_keys <<"EOL"
ssh-rsa my key
EOL
#выдаю права рекурсивно на директорию
chown -R server1:server1/var/backup/server1/.ssh
#Даю права на директорию для владельца и группы, тк для корректной работы ключей логично что демону sshd нужен к ним доступ
chmod 0770 /var/backup/server1/.ssh
#Даю права на файл для владельца и группы по аналогии с выше, но теперь только чтение и запись
chmod 0660 /var/backup/server1/.ssh/authorized_keys
Проблема: после всех этих действий - авторизация по ключу не работает. Заминка в том, что я не понимаю суть проблемы и уже даже начинаю ставить лишние права.

С демоном sshd все впорядке. Просьба подсказать, что в этих действиях может быть неправильным.


Я не понял, к чему пляски вокруг пользователя sshd, у вас что, ssh-демон не от root'а работает?

У authorized_keys, ЕМНИМ, не должно быть права записи для группы, ни в файл, ни в каталог с ним. И, вроде как, sshd ругается в логи, если ему не нравятся права на файлы/каталоги.

mky ★★★★★ ()
Ответ на: комментарий от mky

У sshd демона есть свой пользователь. Когда я закрываю директории правами 700, а файл ключа 600 - оно не работает. Собственно как и с более высокими правами

momi ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.