Hallo Hartwig, für Deine Antworten. On 03.09.2013 09:11, Hartwig Atrops wrote:
Hallo.
On Monday 02 September 2013 23:07:00 Alex Winzer wrote:
Hallo Rainer, hallo Hartwig,
On 02.09.13 21:59, Hartwig Atrops wrote:
Hallo.
On Monday 02 September 2013 19:02:24 Alex Winzer wrote:
Hallo,
ich synchronisiere eine lokale MySQL-Datenbank mit einer im www. Hierzu benutze ich als user "mysql" einen Tunnel über ssh mit einem passwortlosen Zugang. Dieser wird mit cron geöffnet/geschlossen. Zum Öffnen rufe ich "ssh -fNg -L 3307:127.0.0.3:3306 dbuser@mydomain.de" auf und lande wieder auf der Konsole bzw. kann mit dem cron-Skript fortfahren.
... ...
wenn ich was von einem passwortlosen ssh-Zugang hoere, dann straeuben sich mir die Nackenhaare.
Das müssen sie nicht ;-)
Doch, das muessen sie. Man kann - und wenn ich dich richtig verstanden habe, hast du das ja wohl getan - ssh so konfigurieren, dass User xy ohne Angabe eines Passworts (und auch ohne Schluessel) auf das Zielsystem zugreifen kann. Also kann jeder, der das weiss und den zugehoerigen Usernamen kennt, auf das System. Und in deinem Fall auch noch aus dem Internet. Schlimmer kann ein Sicherheitsloch ja wohl kaum sein ...
Du hast mich immer noch nicht richtig verstanden. Ich schrieb "Schlüssel tauschen die Maschinen aber schon aus." und dachte, damit wäre klar, dass ich Schlüssel-Paare gebastelt und anhand des von Dir so super aufbereiteten Vorgehens in die entsprechenden Dateien auf Server und Client beim jeweiligen Benutzer hinterlegt habe.
Was spricht denn dagegen, ssh-Keys zu verwenden (ssh -i ~/.ssh/myspecialkey -fNg ... oder in der Art). Dann braucht man auch kein Passwort einzutippen - und kann das problemlos mit mehreren Usern machen. Und wer den zugheoerigen secret key nicht hat - der kann nicht rein.
Es spricht nichts dagegen.
Ich frage bloß mal, wieviel Passwörter Du bei Verwednung der Schlüssel eingibst?
Auch hier zitiere ich mich nochmal: "... bei Verwendung der Schlüssel ..." Ich verstehe nicht warum man bei den Worten immer noch glaubt, ich würde im weiten www einen _echten passwortlosen Zugang_ zu meinem Webspace haben. Da das an meiner Frage völlig vorbei geht - die gut gemeinten Warnungen in allen Ehren - habe ich davon abgesehen, mein genaues Vorgehen mittels "ssh-keygen", "cat id_rsa.pub >> authorized_keys" etc. pp. zu erläutern. Denn das kann man im Internet als howto finden. Meine E-Mail zur Ausgangsfrage hat je nach Formatierung mind. 25 Zeilen. Ich wollte diese nicht noch im weitere 25 Zeilen künstlich aufblähen und etwa Antwortwilligen dies durch langes Lesen-Müssen vermiesen. Jetzt habe ich es getan ;-)
Gar keins. Ich erzeuge einmalig ein Schluesselpaar, alle Verbindungsaufbauten laufen dann damit, ohne dass ich noch Passwoerter eintippen muss. Stattdessen muss ich meinem ssh-Aufruf sagen, welchen Schluessel er benutzen soll. Das macht der -i Parameter, dem du den Schluessel (auch identity file genannt) mitgibts. (Siehe meine letzte Mail.)
Auf der Kommandozeile ist das zwar auch viel Tipperei, aber in Scripts eingebaut laeuft dann alles vollautomatisch. Und da du schliesslich deinen SECRET key nie nie niemals nicht rausgibst, kannst auch nur du mit diesem Schluessel auf das Zielsystem.
Auf dem Zielsystem muss der dortige User einmalig deinen PUBLIC key seinem "Schluesselbund" (Datei authorized_keys) hinzufuegen, dann geht's.
Siehe bitte oben. Ich mache das auch über Skripten, die ich aber eben als halbwegs sicherheitsbewusster user nicht bei sudo reinsetzen möchte. Auch möchte ich kein weiteres Schlüsselpaar für den user "wwwrun" erzeugen. Die Frage wäre da nämlich auch, wo hinterlege ich das, wo doch "wwwrun" nur eine Art virtueller User ohne home-Verzeichnis etc. ist. Daher will ich gern über php den Aufruf mit Parametern machen, was mir bislang nicht gelingen will -> Siehe meine Frage im Betreff.
Ich gebe nämlich keine Passwörter ein; Schlüssel tauschen die Maschinen aber schon aus. Ich dachte, das solle gerade so sein. Ansonsten hätte ich ja auch das Problem mit den verschiedenen Usern nicht, weil ganz ohne Passwort stets ganz ohne Passwort bliebe.
Für mich als Laien ist das schon passwortlos. Ich bitte um Entschuldigung, falls ich mich da falsch ausgedrückt habe.
Du bezeichnest dich als Laien: hast du denn auf dem Zielsystem irgendwas konfiguriert? Oder hat das der Admin des Zielsystems fuer dich getan? Ich habe da so einen Verdacht ...
Ich habe konfiguriert, siehe oben.
Ich habe die Feststellung gemacht, dass das Problem nicht auftaucht, wenn ich den Befehl in ein Skript nach /usr/local/bin packe und von dort aus mit sudo aufrufe. Die immer gleichen Parameter stehen im Skript, so dass das Skript selbst keine Parameter braucht. Ist das irgendwie besonders unsicher?
Mein Problem pressiert etwas: Ich hatte vor meiner Umstellung über ca. 5 Jahre hinweg xampp mit einem real existierenden User genutzt. Nach vollständiger Neuinstallation bin ich dann - eben auch wegen der Sicherheit - auf die mitgelieferten Apache, MySQL etc. umgestiegen. Das war vor 2 Wochen und seither beschäftige ich mich damit, wie ich meine beiden MySQL-DB endlich wieder automatisch synchronisiert bekomme. @Rainer -> Falls Du noch bis hierhin liest ;-) Ich habe das Stichwort "TLS" mal aufgegriffen und gesucht. Wirklich schlau bin ich daraus nicht geworden. Ich meine nur verstanden zu haben, dass man das aus Sicherheitsgründe über einen Tunnel oder ssh laufen lassen sollte. Damit wäre ich dann aber wieder bei meiner Ausgangsfrage und drehe mich sozusagen im Kreis. Könntest Du mir bitte mal ein paar mehr Stichworte zukommen lassen, wie / was genau Du machst? Gruß & Dank, Alex -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org