Ein freundliches Hallo an alle,
meine Versuche blieben bisher ohne Erfolg. Bei dem Backupserver kann ich ein Passwort für root anlegen und mich damit bei "su -" anmelden. Wenn ich die Verbindung mit ssh aufbaue werde ich stets nach dem root-passwort gefragt. (root@10.168.0.2's password:) gebe ich das bei "su -" funktionierende ein, erhalte ich "Permission denied, please try again." Also das gleiche, als wenn ich mich beim Login mit root anmelden will.
Wie kann ich nun eine Datensicherung vom Server auf dem Backupserver durchführen, so dass der richtige Besitzer auch in der Sicherung eingetragen wird??? Jetzt wird immer der Backupuser (bu) eingetragen.
Grüße von der Nordsee
Peter
sudoers
Re: sudoers
Wenn du nach einem Passwort gefragt wirst, ist deine ssh-Konfiguration falsch: entweder die sshd_config oder der key nicht korrekt hinterlegt.
Gedächtnis wie ein Rechen: Nur Mist bleibt hängen.
Re: sudoers
In der Default-Konfiguration des sshd kann Root sich nicht anmelden, und das ist auch gut so. Wenn du weißt, was du machst, kannst du’s so einstellen, dass sich Root mit Schlüssel, aber nicht mit Passwort anmelden kann. Theoretisch könntest du’s auch so einstellen, dass Root sich mit Passwort und Schlüssel anmelden kann – aber keiner, der sein System zu schätzen weiß, würde das je machen.Peter18 hat geschrieben:20.02.2024 17:25:09Wenn ich die Verbindung mit ssh aufbaue werde ich stets nach dem root-passwort gefragt. (root@10.168.0.2's password:) gebe ich das bei "su -" funktionierende ein, erhalte ich "Permission denied, please try again."
„I fought in the Vim-Emacs-War.“ Quelle
Re: sudoers
Die Tipps zur sshd_config kamen in diesem Thema schon. Da hat der TO augenscheinlich noch Nachholbedarf.
Das Problem des Einloggens per Key ohne Passwort auf den Backup-Server muss er in den Griff bekommen, selbst wenn er seine Sicherung nicht als root transportiert (was nicht notwendig ist, aber das geht am Thema vorbei).
Das Problem des Einloggens per Key ohne Passwort auf den Backup-Server muss er in den Griff bekommen, selbst wenn er seine Sicherung nicht als root transportiert (was nicht notwendig ist, aber das geht am Thema vorbei).
Re: [gelöst] sudoers
Ein freundliches Hallo an alle,
Dank Euch für Eure Antworten!
Ich bin noch mal alles durchgegangen.
In der "/etc/ssh/sshd_config" steht bei dem Server und dem Backup-Server "PermitRootLogin yes".
In der "/root/.ssh/id_ed25519.pub" beim Server steht das gleiche wie in der "/root/.ssh/authorized_keys" beim Backup-Server.
Dabei fiel mir ein, dass ich beim Erzeugen des Schlüssels probeweise ein Passwort eingegeben hatte. Das wollte er natürlich wissen. Bei der ganzen Testerei geht einem schon mal so etwas durch die Lappen.
Aber nun hat es funktioniert!!
Denen, die dass für unsicher halten sei folgendes gesagt: Der Schlüssel liegt bei root vom Server. Damit ist root der Herrscher darüber! Die crontab startet ein Script, das auch bei Root liegt und die Verbindung für die Datensicherung herstellt. Es ist notwendig, die Datensicherung mit root zu betreiben, damit der richtige Eigentümer und nicht bu (Backupuser) eingetragen wird.
Wie sicher ist ein System, wenn sich jeder User mit "sudo [Anweisung]" beinahe root-Rechte verschaffen kann oder mir "sudo -i" zu root werden kann und das ohne Passwort??
Grüße von der Nordsee
Peter
Dank Euch für Eure Antworten!
Ich bin noch mal alles durchgegangen.
In der "/etc/ssh/sshd_config" steht bei dem Server und dem Backup-Server "PermitRootLogin yes".
In der "/root/.ssh/id_ed25519.pub" beim Server steht das gleiche wie in der "/root/.ssh/authorized_keys" beim Backup-Server.
Dabei fiel mir ein, dass ich beim Erzeugen des Schlüssels probeweise ein Passwort eingegeben hatte. Das wollte er natürlich wissen. Bei der ganzen Testerei geht einem schon mal so etwas durch die Lappen.
Aber nun hat es funktioniert!!
Denen, die dass für unsicher halten sei folgendes gesagt: Der Schlüssel liegt bei root vom Server. Damit ist root der Herrscher darüber! Die crontab startet ein Script, das auch bei Root liegt und die Verbindung für die Datensicherung herstellt. Es ist notwendig, die Datensicherung mit root zu betreiben, damit der richtige Eigentümer und nicht bu (Backupuser) eingetragen wird.
Wie sicher ist ein System, wenn sich jeder User mit "sudo [Anweisung]" beinahe root-Rechte verschaffen kann oder mir "sudo -i" zu root werden kann und das ohne Passwort??
Grüße von der Nordsee
Peter
Re: sudoers
Auch wenn ich deinen Ansatz der Übertragung des Backups als root mittels ssh-key für sicher halte (sachgemäßen Umgang mit dem Schlüssel vorausgesetzt), widerspreche ich dir bezüglich der Notwendigkeit. Root könnte deine Sicherung in ein Archiv verpacken und ein "gewöhnlicher" Transferuser zum Backup-Server transportieren. Innerhalb des Archivs bleiben alle Dateirechte erhalten. Nur beim Auspacken des Archivs (was nur im Ernstfall notwendig ist) braucht es wieder den privilegierten User.Die crontab startet ein Script, das auch bei Root liegt und die Verbindung für die Datensicherung herstellt. Es ist notwendig, die Datensicherung mit root zu betreiben, damit der richtige Eigentümer und nicht bu (Backupuser) eingetragen wird.
Re: sudoers
Die Frage wurde schon mehr als einmal hier erörtert – in nicht nur meinen Augen ist die Default-Konfiguration, die Debian irgendwann aus irgendeinem Grund von den Buntus übernommen hat, eine krasse Fehlkonfiguration. Andere sehen’s hingegen anders – YMMVPeter18 hat geschrieben:21.02.2024 14:44:37Wie sicher ist ein System, wenn sich jeder User mit "sudo [Anweisung]" beinahe root-Rechte verschaffen kann oder mir "sudo -i" zu root werden kann und das ohne Passwort??
Man kann sudo aber ganz ausgezeichnet konfigurieren und so feingranular vorgeben, was ein Nutzer damit machen kann, und was nicht. In deinem Fall könnte man also beispielsweise dem User ermöglichen, das Backup mit Rootrechten zu fahren – und zwar nur das, nix Anderes.
„I fought in the Vim-Emacs-War.“ Quelle
Re: sudoers
@Peter18 - Eine vielleicht etwas ketzertische Frage: Hast du wirklich Hilfe gebraucht oder wolltest du das Forum eher testen?