rsync: einmalige Passworteingabe

[katze123]

Ich habe mir ein Shellscript mit mehreren rsync-Befehlen gebastelt, die alle wichtigen Verzeichnisse auf meinen ssh-Server kopieren. Allerdings habe ich nun das Problem, dass ich nach jedem Befehl mein Passwort eingeben muss, d.h. ich kann den Vorgang nicht komplett unbeaufsichtigt laufen lassen. Daher suche ich nach einer Möglichkeit, dass ich mein Passwort am Anfang nur einmal eingebe und der Vorgang dann ohne Unterbrechung durchläuft.
Ich möchte NICHT, dass gar keine Passwortabfrage kommt, wie das bei einem Keyfile der Fall wäre, ich möchte genau eine Passworteingabe machen, die dann für alle Befehle gültig ist. Wie mach ich dasß

[DeletedUserReAsG]

Für ssh wäre ein Schlüssel und ssh-agent möglicherweise sinnvoll. Am Anfang des Scriptes das PW für den Schlüssel abfragen und mit ssh-add eintragen, am Ende des Scriptes den Schlüssel ggf. wieder entfernen.

[r4pt0r]

ssh-key des Benutzers der das script ausführt per ssh-copy-id übertragen, dann entfällt die Passwortabfrage.

[uname]

Generell sind Keys sicherer als Passwörter. Die angesprochene Kombination aus Key und Passphrase ist natürlich noch besser auch wenn sie eine Interaktivität erfordert. Am besten wäre jedoch wenn du einfach deinen SSH-Server entsprechend absicherst. So könntest du z.B. einen eigenen Benutzer nur für das Backup des gewünschten Clients anlegen und diesen über einen Key berechtigen, der jedoch wiederum nur zum Sichern der Daten erlaubt wird. Lese z.B. viewtopic.php?t=155890 Im übrigen wird dort empfohlen besser auf Standardlösungen wie z.B. rsnapshot zu setzen aber das nur am Rande. Wobei ich habe auch mal ein Script geschrieben falls Interesse besteht: https://wiki.ubuntuusers.de/Skripte/Backup_mit_RSYNC

[r4pt0r]

Alternative zu fehleranfälligen Skripten: Richtige Backuplösung wie z.b. Amanda. Das ist für ein Heimnetz in 5 Minuten eingerichtet und funktioniert einfach - absolute "fire & forget" Lösung. Geht doch mal was schief, bekommt man es in den Statusmails mitgeteilt.
Ich sichere damit meine privaten Rechner und Server (lokal, Rechenzentrum und Cloudinstanzen) und auch im Firmennetz werden sämtliche Server (lokal, aussenstellen und Rechenzentrum) damit gesichert.

[DeletedUserReAsG]

OT: ich behaupte, ein gut geschriebenes, simples(!) Script ist weniger fehleranfällig, als ’ne komplexe Backuplösung. Die spielen ihre Vorteile dann in komplexeren Setups aus. Wie auch immer – die Anforderung war, dass bei dem gegebenen Script das Passwort einmal eingegeben werden müsse. Ausdrücklich nicht gar nicht, und nicht mehrmals. Wäre schön, wenn sich der Threadstarter mal zu den Vorschlägen äußern würde.

[katze123]

Ich habe mir nun die pubkey-auth so eingerichtet, dass ich wie gewünscht nur 1x pro Sitzung das Passwort eingeben muss. Da mein Homeverzeichnis verschlüsselt ist, hab ich meine ~/.ssh/authorized_keys an einen anderen Ort verlegt und eine ~/.profile im noch nicht entschlüsselten Homeverzeichnis mit folgendem Inhalt angelegt:

Code: Alles auswählen

ecryptfs-mount-private
cd /home/katze123

Über den Befehl ssh klappt der Zugriff auch wunderbar, nachdem mein Login-Passwort abgefragt wurde. Allerdings hab ich nun das Problem, dass die ganze Sache mit meinem rsync-Skript nicht klappt, es kann einfach nicht auf das Verzeichnis zugreifen. Wie kann ich mein Skript anpassen, damit das klappt, ohne vor jedem Backup-Vorgang ein gesondertes ssh-Terminal öffnen zu müssen?

[uname]

Ich denke das Problem ist dein verschlüsseltes Home-Verzeichnis. Normalerweile sind Systeme bzw. deren Partitionen zur Laufzeit nicht verschlüsselt. Somit kann ein rsync-Script (normalerweise als root) über SSH-Keys unbeaufsichtigt z.B. Backups durchführen. Wenn du deine Home-Partition nur beim Zugriff durch den normalen Benutzer entschlüsselt funktioniert das so nicht. Du könntest evtl. maximal nach der Anmeldung als normaler Bentuzer per SSH zu root wechseln und dann den rsync-Befehl aufgrund von SSH-Keys vollkommen ohne Passwort durchführen. Alternativ kannst du evtl. falls dein verschlüsseltes Home nicht zu groß ist den ganzen "Container" sichern. Halte ich aber auch für weniger praktisch.