SCP erlauben, aber keine Anmeldung über SSH auf ein 2. Server

Hinweis: In dem Thema SCP erlauben, aber keine Anmeldung über SSH auf ein 2. Server gibt es 10 Antworten auf 2 Seiten. Der letzte Beitrag () befindet sich auf der letzten Seite.
  • Ich kopiere 1X am Tag Daten von einem Webserver auf einen Backup Sever, früher habe

    ich dafür ein NFS eingerichtet und das LW auf dem Webserver gemountet.


    Nur wird der Backup Server erneuert, da wollte ich mir NFS sparen und über SCP die Daten übertragen.


    Dazu muss man ja einem öffentlichen Schlüssel auf dem Backup Server bringen, damit keine Passwortabfrage erscheint, soll ja als Cron ausgeführt werden


    Nun kann man sich über den Webserver per SSH auf den Backup Server anmelden, das sollte nicht sein.


    Also SCP ja, - SSH nein


    Aber irgendwie sind die beiden Funktionen verbunden, wenn ich in die /etc/passwd eine Anmeldung für den User unterbinde funktioniert SCP auch nicht mehr.



    Jemand eine Idee oder doch wieder über NFS?

    Einmal editiert, zuletzt von neptun () aus folgendem Grund: Schreibfehler

    Für den Inhalt des Beitrages 286255 haftet ausdrücklich der jeweilige Autor: neptun

  • SCP braucht, genau wie SFTP, SSH , um die angegebenen Daten auf den Zielrechner zu kopieren.


    Das Protokoll selbst implementiert nur die Dateiübertragung, für die Anmeldung und Verbindung wird SSH genutzt und auf dem entfernten Rechner ein SCP-Server aufgerufen; dieser ist normalerweise gleichzeitig auch das Client-Programm. Für das darunterliegende SSH wird ein SSH-Server benötigt.


    EDV-Dinosaurier im Ruhestand


    ich bin /root, ich darf das 8)


    Dinos are not dead. They are alive and well and living in data centers all around you. They speak in tongues and work strange magics with computers. Beware the Dino! And just in case you're waiting for the final demise of these Dino’s: remember that Dino’s ruled the world for 155-million years! (Unknown Author)

    Für den Inhalt des Beitrages 286256 haftet ausdrücklich der jeweilige Autor: Igel1954

  • Zitat

    SCP braucht, genau wie SFTP, SSH , um die angegebenen Daten auf den Zielrechner zu kopieren.


    Wir hat dann ein EDV-Dinosaurier das früher gemacht, also Daten von ein Server auf einen anderen kopiert, ohne dass man sich anmelden konnte.


    Das ist ja nichts exotische, eher das täglich Brot, ich habe es jahrelang über NFS gemacht, bin aber für neueres immer offen

    Für den Inhalt des Beitrages 286259 haftet ausdrücklich der jeweilige Autor: neptun

  • Um den Webserver zu administrieren und um Dateien hochzuladen brauchst du ja eh ssh.


    Daher ist die Frage eigentlich überflüssig.

    Für den Inhalt des Beitrages 286260 haftet ausdrücklich der jeweilige Autor: Sauerland

  • Du kannst jede SSH Verbindung nach Gusto mit diversen Mechanismen einschränken.

    In diesem Falle würde das via authorized_keys erledigen.

    Man kann dort jedem Schlüssel ein command= voranstellen.

    Dann sieht EINE Zeile auf dem Zielsystem in ~/.ssh/authorized_keys ungefähr so aus:

    command="/usr/bin/cat",no-pty,no-agent-forwarding,no-port-for warding,no-X11-forwarding

    ssh-rsa AAAAB3NzaC1y........

    (Du kannst die verwendeten SSH- Optionen nach Gusto ebenfalls verwenden. Mein Beispiel wird auch für Backup verwendet - nur verwende ich natürlich borgbackup ; siehe man 5 ssh_config)

    '


    Der "Backupbefehl" wäre dann ein schlichtes:

    cat MeineZuSicherndeDatei | ssh user@host 'cat > /Ziel/verzeichnis/auf/remote/host/DortigerName'

  • Wir hat dann ein EDV-Dinosaurier das früher gemacht, also Daten von ein Server auf einen anderen kopiert, ohne dass man sich anmelden konnte.


    Das ist ja nichts exotische, eher das täglich Brot, ich habe es jahrelang über NFS gemacht, bin aber für neueres immer offen

    Also ohne Anmeldung gibt es keinen Zugriff auf einen Server.

    Und wenn die Daten von einem Produktionsrechner auf einen Ausweichrechner mussten, dann wurden die aktuellen Sicherungstapes (LTS, VTS) auf dem Ausweichrechner eingespielt. Der produktive Rechner ist in dem Fall u. U. gar nicht mehr funktionsfähig. Das Ausweich-RZ ist in der Regel viele km weiter weg.
    Das wird in großen RZs sogar regelmäßig geprobt, um im Katastrophenfall ganz schnell ein funktionsfähiges RZ zu haben. Das Ausweich-RZ befindet sich ansonsten im Dornröschenschlaf. OS und administrative Userkennungen sind auf dem Ausweichrechner vorhanden.

    EDV-Dinosaurier im Ruhestand


    ich bin /root, ich darf das 8)


    Dinos are not dead. They are alive and well and living in data centers all around you. They speak in tongues and work strange magics with computers. Beware the Dino! And just in case you're waiting for the final demise of these Dino’s: remember that Dino’s ruled the world for 155-million years! (Unknown Author)

    Für den Inhalt des Beitrages 286267 haftet ausdrücklich der jeweilige Autor: Igel1954

  • Vielen Dank, aber so richtig blicke ich da nicht durch.


    Ich erstelle mit den User Backup auf dem Webserver die

    authorized_keys

    mit

    ssh-keygen -t rsa

    und kopiere die auf mein Backup Server

    ssh-copy-id backup@192.168.xx.xx

    Bis hier klappt es ja schon über SCP, aber leider auch über SSH



    auf dem Backup Server im home/backup/.ssh liegt dann die authorized_keys

    Inhalt:

    ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAbbBAQDIXJCHj4gCdKCWT...

    Hier soll ich dann als 1. Zeile eintragen: ?

    command="/usr/bin/cat",no-pty,no-agent-forwarding,no-port-for warding,no-X11-forwarding"

    ssh-rsa AAA... # der alte Inhalt in der 2. Zeile


    Auf dem Webserver benutze ich dann kein scp sonder Cat?

    gibt es da kein unterschied wegen Asci Umlaute u.s.w.?

    xcp kopiert ja 100%, cat zeigt mir ja nur den Inhalt eier Datei an, hier habe ich schon oft gesehen das Umlaut kaputt sind.


    Also Z.b. Verzeichnis Projekt-kiel sichern:

    cat Projekt-Kiel | ssh backup@host 'cat > /192.168.0.XX/home/backup/

    schon landet das Verzeichnis auf mein Backup(192.168.x.x) Server?


    Kann man dann nicht einfach sagen SCP ja, SSH nein?

    Für den Inhalt des Beitrages 286273 haftet ausdrücklich der jeweilige Autor: neptun

  • Ich verstehe den Sinn und Zweck nicht.

    Der User auf dem Ziel ist doch eh vorhanden.

    Für den Inhalt des Beitrages 286274 haftet ausdrücklich der jeweilige Autor: Sauerland

  • Das "command=......" steht direkt vor dem eigentlichen Schlüssel.

    Jeder Key samt seinen Optionen und Commands steht in EINER EINZIGEN langen Zeile.

    Also:

    command=/usr/bin/cat ssh-rsa <die lange Chiffre des Keys>.


    Damit kann mit diesem Cert NUR cat ausgeführt werden. Sonst gar nix.

    Du kannst noch SSH Optionen angeben und sogar den Zugriff auf ein bestimmtes Verzeichnis ein schränken.

    Lies einfach man 5 ssh_config

  • So langsam verstehe ich es.

    schreibe ich auf dem Backup-Server

    command="/usr/bin/dir" ssh-rsa


    und auf den Webserver

    ssh backup@192.168.0.30

    listet er mir das Home Verzeichnis vom Backup-Server auf, weil der Befehl auf DIR beschränkt wurde


    Aber was muss ich eingeben, wenn ich Daten vom Webserver zum Backup-Server kopieren will?

    sowas wie:

    command="/usr/bin/scp" ssh-rsa

    ?

    sollte man dann auf dem Webserver scp datei backup@192.168.0.30

    schreiben können?

    Für den Inhalt des Beitrages 286292 haftet ausdrücklich der jeweilige Autor: neptun