* "Michael Höller" wrote on Fri, Feb 24, 2006 at 11:04 +0100: [aus drei Mails kombiniert]
ich möchte gerne rsync im script ausführen und nicht ständig die Passphrase eingeben müssen.
Soll das rsync automatisch gestartet werden, oder wird es interaktiv gestartet?
Folgendes habe ich probiert: [...] => loggin auf remote ohne passphrase möglich !!! [...] Enter passphrase for key '/root/.ssh/id_dsa':
Wie kann ich das umgehen? Ich würde gerne ssh MIT Passphrase nutzen. [...] ich habe keine gefunden wo ein login mit ssh in einem Script möglich ist ohne das überhaupt eine Passpharse eingegeben werden muss.
Doch, Dein eigenes erstes Beispiel macht ein Login via Key ohne Passphrase-Abfrage.
Ich weis das es gehen muss. Aber das maximum was ich hin bekomme ist unter Verwendung des ssh Agenten das die Passphrase nur einmal eingegeben werden muss.
Wenn Du eine Passphrase setzt, wird der Schlüssel damit verschlüsselt. Dann muss man ihn vor dem Verwenden entschlüsseln. Die Passphrase entfernen (aber nur im Arbeitsspeicher, klar).
Der Anwendungfall ist simple ich will mit rsync auf einen remote Rechnerdaten spieglen beide Rechner sind im selben vertrauenswürdigen lokalen Netz...
Die Anforderungen sind scheinbar nicht so simpel auf den Punkt zu bringen, anscheinend an noch niemand verstanden, was /genau/ Du willst. Wenn Du willst, dass Dein Script geht, aber sonst kein Angreifer eine Chance hat, selbst wenn der den Key klaut, hast Du vermutlich einen unlösbaren Wunsch :)
vielen Dank für den Tipp und link, genauso weit war ich. Ich möchte aber eigenlich noch einen Schritt weitergehen und komplett ohne eingabe eins Passworts arbeiten.
Dein allererstes Beispiel war genau das. Komplett ohne Eingabe eines Passworts. Sogar ohne Eingabe einer Passphrase.
Ich denk das macht hier Sinn denn:
ich möchte in meinem lokalen Netz, hinter der Firewall, lediglich Daten von einem Rechner auf einen andern spiegeln.
"lediglich beliebige Dateien schreiben" klingt lustig. Beliebige Dateien schreiben ermöglich ja so ziemlich alles, einschliesslich Kerneltausch (wenn man einen reboot hinkriegt) :-)
Klar kann ich ssh ohne Passwort verwenden aber dann habe ich ein offenes ssh und das möchte ich ja nun gar nicht.
Das möchtest Du nicht? Oben schriebst Du "Ich möchte aber eigenlich [...] komplett ohne eingabe eins Passworts arbeiten".
Nur der eine Rechener soll völlig transparent und offen sein.
Ahh, also SSH soll Verbindungen von einem Rechner aus erlauben, diesem anderen Rechner voll vertrauen? Dann sind folgende Optionen von Interesse: # rhosts authentication should not be used #RhostsAuthentication no # Don't read the user's ~/.rhosts and ~/.shosts files #IgnoreRhosts yes # For this to work you will also need host keys in /etc/ssh/ssh_known_hosts #RhostsRSAAuthentication no # similar for protocol version 2 #HostbasedAuthentication no # Change to yes if you don't trust ~/.ssh/known_hosts for # RhostsRSAAuthentication and HostbasedAuthentication #IgnoreUserKnownHosts no Man kann auch einen Passphrase-losen key machen (wie in Deinem ersten Beispiel), diesen aber nur von einem bestimmten Host aus erlauben. man sshd: AUTHORIZED_KEYS FILE FORMAT from="pattern-list" Wenn Du schon mal da bist, guck Dir auch mal command="command" usw. an. command= ist vielleich ein bissel "unhandlich" beim ersten Mal, aber die einzige Möglichkeit sinnvoll einzuschränken (z.B. ein Script zu starten, was Parameter genau prüft und das lokale rsync entsprechend startet oder sowas). Ich glaube, passphrase-loser root key und RhostsRSAAuthentication sind in etwa gleich sicher (bzw. unsicher). Zusätzlich kannst Du noch tcp-wrapper und Paketfilter einsetzen, um den Zugang zum SSH Port einzuschränken bzw. einen zweiten sshd stärker geschützt einzusetzen oder ... na, die Liste würde lang ;) So, meine Kristallkugel ist jetzt erschöpft. War das richtige dabei?
Vielleicht denke ich ja gegen das Konzept hier aber irgendwie habe ich das Gefühle das das doch ein alltägliches Problem ist ??
Ja, ist es bestimmt, Du kannst es nur nich ausdrücken/erklären :) oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel.