Hallo, ok, letzte Frage. Wie kann ich einen Rsync Zugriff ueber SSH zu automatisieren, dass kein passwort mehr abgefragt wird. In der vorletzten CT stand zwar was drin, aber das funktionierte irgendwie nicht bei mir. Danke Stonki -- Deutsche ProFTP Docs: http://www.proftpd.de, EFNET: #proftpd KDE3 Renamer: http://www.krename.net KDE3 Barcode und Label Solution: http://www.kbarcode.net
Hallo Stefan,
ok, letzte Frage. Wie kann ich einen Rsync Zugriff ueber SSH zu automatisieren, dass kein passwort mehr abgefragt wird.
habe mich damals an folgender Seite orientiert: http://www.bombich.com/mactips/rsync.html Ist zwar eigentlich für Mac OS X geschrieben worden, aber das Prinzip wird hier recht gut beschrieben. Gruß André
* Stefan Onken schrieb am Dienstag, 2003-06-03:
ok, letzte Frage. Wie kann ich einen Rsync Zugriff ueber SSH zu automatisieren, dass kein passwort mehr abgefragt wird. In der vorletzten CT stand zwar was drin, aber das funktionierte irgendwie nicht bei mir.
Zwei Möglichkeiten: Entweder mit ssh-agent, oder mit einem Schlüssel ohne Passphrase. -- Christian Ullrich Registrierter Linux-User #125183 An mich privat gesendete Antworten und Fragen werden unbeantwortet gelöscht.
Am Dienstag, 3. Juni 2003 16:49 schrieb Christian Ullrich:
Zwei Möglichkeiten: Entweder mit ssh-agent, oder mit einem Schlüssel ohne Passphrase.
ssh-agent ist mir nicht so ganz klar, aber laut CT dachte ich eh an Schluessel ohne Passphrase.. Nur dabei klappt es irgendwie nicht so richtig.. cu stonki -- www.stonki.de: the more I see, the more I know....... www.proftpd.de: Deutsche ProFTPD Dokumentation www.krename.net: Der Batch Renamer für KDE www.kbarcode.net: Die Barcode Solution für KDE
* Stefan Onken schrieb am Dienstag, 2003-06-03:
Am Dienstag, 3. Juni 2003 16:49 schrieb Christian Ullrich:
Zwei Möglichkeiten: Entweder mit ssh-agent, oder mit einem Schlüssel ohne Passphrase.
ssh-agent ist mir nicht so ganz klar, aber laut CT dachte ich eh an Schluessel ohne Passphrase.. Nur dabei klappt es irgendwie nicht so richtig..
ssh-keygen -t rsa -f key -N "" Danach trägst du key.pub auf dem Zielsystem in .ssh/authorized_keys ein und machst auf dem Ausgangssystem das folgende: rsync --rsh="ssh -i key" ... -- Christian Ullrich Registrierter Linux-User #125183 An mich privat gesendete Antworten und Fragen werden unbeantwortet gelöscht.
* Christian Ullrich schrieb am Dienstag, 2003-06-03:
ssh-keygen -t rsa -f key -N ""
Danach trägst du key.pub auf dem Zielsystem in .ssh/authorized_keys ein und machst auf dem Ausgangssystem das folgende:
rsync --rsh="ssh -i key" ...
Ach ja, und außerdem solltest du a) "key" aufs schärfste bewachen und falls möglich b) auf dem Zielsystem mittels der Option "command" in authorized_keys (siehe man sshd) festlegen, was ausgeführt werden soll, sobald dieser Schlüssel zur Anmeldung benutzt wird. Falls du jedesmal den gleichen rsync-Aufruf ausführst, kannst du da hineinschreiben, was auf dem Zielsystem tatsächlich aufgerufen wird und auf diese Weise vermeiden, daß der Schlüssel für die interaktive Anmeldung verwendet wird. -- Christian Ullrich Registrierter Linux-User #125183 An mich privat gesendete Antworten und Fragen werden unbeantwortet gelöscht.
Hallo, am Dienstag, 3. Juni 2003 um 19:20 schrieb Christian Ullrich Source Rechner:
ssh-keygen -t rsa -f key -N ""
Destination Rechner:
Danach trägst du key.pub auf dem Zielsystem in .ssh/authorized_keys ein und machst auf dem Ausgangssystem das folgende:
Source: ssh -i key DANKE, soweit klappt das. Jedoch noch ein Problem. Ich bin als root auf dem Source Rechner (da ich dort alle sachen sichern will), muss jedoch mit einem usernamen bei dem Backup Rechner anmelden. Wie klappt dann ? Ich habe das mal traudoof wie beschrieben gemacht, nur dann fragt natuerlich der Backup Rechner nach einem Passwort fuer den Key. cu stonki -- Deutsche ProFTP Docs: http://www.proftpd.de, EFNET: #proftpd KDE3 Renamer: http://www.krename.net KDE3 Barcode und Label Solution: http://www.kbarcode.net
* Stefan Onken schrieb am Mittwoch, 2003-06-04:
am Dienstag, 3. Juni 2003 um 19:20 schrieb Christian Ullrich
Source Rechner:
ssh-keygen -t rsa -f key -N ""
Destination Rechner:
Danach trägst du key.pub auf dem Zielsystem in .ssh/authorized_keys ein und machst auf dem Ausgangssystem das folgende:
Source: ssh -i key
DANKE, soweit klappt das. Jedoch noch ein Problem. Ich bin als root auf dem Source Rechner (da ich dort alle sachen sichern will), muss jedoch mit einem usernamen bei dem Backup Rechner anmelden. Wie klappt dann ? Ich habe das mal traudoof wie beschrieben gemacht, nur dann fragt natuerlich der Backup Rechner nach einem Passwort fuer den Key.
"Natürlich" ist das gar nicht. Sofern du den Schlüssel wirklich ohne Passphrase erzeugt hast, fragt das Backup-System nicht nach dieser Passphrase, sondern nach einen Paßwort für den Benutzer, als der rsync sich da anmelden will. Das liegt dann vermutlich daran, daß du den öffentlichen Schlüssel in die authorized_keys von root auf dem Backup-System eingetragen hast, statt in die entsprechende Datei des anzumeldenden Benutzers. -- Christian Ullrich Registrierter Linux-User #125183 An mich privat gesendete Antworten und Fragen werden unbeantwortet gelöscht.
Stefan Onken wrote:
Ich bin als root auf dem Source Rechner (da ich dort alle sachen sichern will), muss jedoch mit einem usernamen bei dem Backup Rechner anmelden. Wie klappt dann ?
Entweder in den ssh-Teil ein "user@machine" einfuegen, den "-l user" Parameter von ssh mitbenutzen, oder in die /root/.ssh/config einen Eintrag in der Form Host machine User user
Ich habe das mal traudoof wie beschrieben gemacht, nur dann fragt natuerlich der Backup Rechner nach einem Passwort fuer den Key.
Fuer den Key? Sicher? Peter
Hallo auch, Am Dienstag, 3. Juni 2003 19:42 schrieb Stefan Onken:
Am Dienstag, 3. Juni 2003 16:49 schrieb Christian Ullrich:
Zwei Möglichkeiten: Entweder mit ssh-agent, oder mit einem Schlüssel ohne Passphrase.
ssh-agent ist mir nicht so ganz klar, aber laut CT dachte ich eh an Schluessel ohne Passphrase.. Nur dabei klappt es irgendwie nicht so richtig..
Was klappt denn nicht so richtig? Der Schlüsseltausch oder der anschliessende Rsync? Wenn du die Schlüssel getauscht hast, kannst du ja auch über einen einfachen ssh testen, obs geklappt hat. Es sollte ja kein Passwort mehr abgefragt werden. Klappt dies nicht, hier ein paar debug-Ideen: Meist liegt es daran, das verschiedene SSH-Versionen nicht immer miteinander reden können. Bring dann am Besten beide Maschienen auf die gleiche Version. +++++++++++++ Debugging: ssh -V gibt die Version ssh -v ziel gibt output über Versuch des Verbindungsaufbaus Alternativ: Auf Ziel sshd -p 2222 -D -d ausführen, dort wartet jetzt ein zweiter ssh-Dämon auf port 2222 mit debug. Auf Initiator ssh -p 2222 ziel ausführen, so wird dorthin verbunden. Durch das gesetzte Debug-Flag kommt ein genauerer Output wie bei ssh-v ziel. ++++++++++++++ Falls dein Problem aber nicht am ssh sondern am rsync liegt, kannst du ja mal das Problem posten, ist dann wahrscheinlich nur ein syntax-Problem, vermute ich mal... Have fun, Bernd -- One OS to rule them all, one OS to find them. One OS to bring them all, and in the darkness bind them In the land of Redmond, where the shadows lie.
On Tue, Jun 03, 2003 at 04:20:34PM +0100, Stefan Onken wrote:
ok, letzte Frage. Wie kann ich einen Rsync Zugriff ueber SSH zu automatisieren, dass kein passwort mehr abgefragt wird. In der vorletzten CT stand zwar was drin, aber das funktionierte irgendwie nicht bei mir. Das kannst Du über
PubkeyAuthentication yes AuthorizedKeysFile ~/.ssh/authorized_keys in /etc/ssh/sshd_conf serverseitig aktivierien. Nun musst Du auf dem Client den Key erzeugen: ssh-keygen -t dsa (Aufruf als User der sich über rsync einloggen soll) und auf dem Server die Keykennung des Clientschlüssels absegnen (mit dem User der sich über rsync automatisiert einloggen möchte zu erledigen): cat id_dsa_pub >> ~/.ssh/authorized_keys siehe auch man ssh man ssh-keygen greetinXs, Michael Hilscher -- Would Mozart have been more productive if he had scribes to help him, a secretary and a CEO to lead his way? -- Linus Torvalds
Servus Stefan, was mir gerade zu Deinem SSH "Problem" noch einfällt: Das Verzeichnis ~/.ssh muss auf dem Server die Rechte 700 auf den Useraccount haben und: ~/.ssh/authorized_keys muss auf 600 sitzen. Falls eine dieser Bedingungen nicht erfüllt ist, ignoriert der SSH-Server den überlieferten Key und besteht auf Passworteingabe. greetinXs, Michael Hilscher -- Would Mozart have been more productive if he had scribes to help him, a secretary and a CEO to lead his way? -- Linus Torvalds
participants (7)
-
André Groß -
Bernd Tannenbaum -
Christian Ullrich -
Michael Hilscher -
Peter Wiersig -
Stefan Onken -
Stefan Onken