Alexey Pechnikov -> debian-russian@lists.debian.org @ Wed, 10 Dec 2008 13:34:12 +0300:
>> Пример. У меня есть сервер в Интернете, и машина в локальной сети, >> которая его бэкапит. В автопилоте. Она, натурально, идет туда по ssh >> юзером backup по ключу и запускает собственно команду бэкапа, сливающую >> результат в этот ssh. По sudo без пароля. Ровно эту команду и никакую >> другую. >> >> Предложи другой способ это сделать. AP> Например, делать периодически шифрованные бэкапы, и выкладывать их AP> по http. Веб-сервер может слушать виртуальный хост, не прописанный AP> в днс, как говорится, "во избежание". Взлом машины с бэкапами, AP> которая "защищена ... не в пример слабее того сервера" не приводит AP> к утечке данных. AP> А вот ходить по ключу как раз несекьюрно. Ибо при получении доступа AP> на систему с бэкапами тут же появляется доступ к основному AP> серверу. На систему с бэкапами доступ по условию получить сложнее. Проще только из локалки. Но в локалке более доверенный народ, и там, в случае чего, разберемся административно. AP> Зная современную любовь к php/mysql и прочей дряни, Ахха, "выкладывать по http"... Зная современную любовь к php и прочей дряни, тот веб-сервер, на который выложен быкап, собственно, и будет взломан. Быкап, конечно, его шифрованность спасет (до следующего быкапа, где будет использован подмененный ключ), а сервер - вот он... AP> из-под любого юзера можно натворить что угодно (и уж как минимум AP> открыть непривелигированный порт и устроить ddos на несколько AP> терабайт и т.п.). Если нужна _передача информации_, зачем давать AP> доступ к _управлению_ сервером (шелл)? man sshd /AUTHORIZED_KEYS FILE FORMAT /command= и медитировать до просветления. -- Artem Chuprina RFC2822: <ran{}ran.pp.ru> Jabber: [EMAIL PROTECTED] Хакинг и кракинг ульев с последующим чавкингом мёда, безусловно, является злым розыгрышем. Особенно с точки зрения пасечника. -- http://knjazna.livejournal.com/44647.html?thread=630375#t630375 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]