Am Donnerstag 15 Oktober 2009 16:38:03 schrieb Sebastian Siebert:
Hallo Al,
Al Bogner schrieb:
Ich habe mit puttygen keys (testweise) erzeugt und schaffe es nicht mich damit anzumelden.
Mir fällt dabei auf, dass die Keys von puttygen anders aussehen, als die vom Linux-PC
Unter Linux habe ich immer:
.ssh/id_rsa.pub ssh-rsa .... user@host
Putty-Key: ---- BEGIN SSH2 PUBLIC KEY ---- Comment: "rsa-key-20091015" A...B ---- END SSH2 PUBLIC KEY ----
Wenn du schon Putty Key Generator bedienst, dann lese bitte auch richtig.
Dort steht nicht zu überlesen: "Public Key for pasting into OpenSSH autherized_keys file"
und darin befindlicher Textfeld sollte in die Datei ~/.ssh/autherized_keys eingefügt werden.
Habe ich natürlich gemacht, aber in auth_o_rized_keys
Ziel soll es nun mit putty sein, dass sich ein "DAU" dort mit einem abgespeicherten Profil als root anmelden kann, ohne ein PW oder einen User anzugeben und dann auf der Konsole ein Sicherungsscript aufrufen kann. Mir ist schon klar, dass dies ohne PW nicht optimal ist, aber so einfach denke ich sind die Keys nicht zu hacken.
Generell würde ich einem "DAU" gar keine Root-Rechte geben und ist auch sonstiger Sichtweise nicht empfehlenswert. Denn ein "DAU" kann eine ganze Menge kaputt machen.
Sicher, aber wenn es der Server des DAU ist, kann ich nur warnen und das tun, das vielleicht funktionieren könnte. Ist er nicht lernwillig, dann hat er früher oder später Probleme.
Nicht umsonst hat man dem Root-User die höchstmöglichen Rechte vergeben. Denn die normalen User sollen am System nichts rumfuschen.
Ein Skript aufrufen, könnte schon gut gehen. Da es um eine Sicherung geht, werden Root-Rechte benötigt.
Vorschlag, um ein Sicherheitsskript bei Bedarf aufzurufen: - Richte dem User einen eigenen Account ein - Generiere für den User ein SSH-Key - Der User braucht nur eine Dummy-Datei per "touch runsript" in seinem Home-Verzeichnis zu erstellen. - Richte ein Cronjob als Root-User ein, der ständige nach dieser Dummy-Datei im Home-Verzeichnis sucht und falls die Datei existiert wird entsprechend das Sicherheitsskript ausführt.
Das Skript führt auch "zypper update" aus und da kann Interaktion notwendig sein. Ich habe mir schon überlegt, die Ordnergröße zu bestimmen und alle paar Stunden per Cronjob zu prüfen, ob sich was geändert hat und automatisch zu sichern, sodass nur mehr per Winscp runtergeladen werden muss. Das würde vermutlich meistens gut gehen, aber eventuell nicht immer, und dann wäre ich der Böse, falls es Probleme gibt. Muss er interaktiv entscheiden und baut Mist, dann hat er den Fehler gemacht. Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org