Hallo. On Monday 02 September 2013 23:07:00 Alex Winzer wrote:
Hallo Rainer, hallo Hartwig,
On 02.09.13 21:59, Hartwig Atrops wrote:
Hallo.
On Monday 02 September 2013 19:02:24 Alex Winzer wrote:
Hallo,
ich synchronisiere eine lokale MySQL-Datenbank mit einer im www. Hierzu benutze ich als user "mysql" einen Tunnel über ssh mit einem passwortlosen Zugang. Dieser wird mit cron geöffnet/geschlossen. Zum Öffnen rufe ich "ssh -fNg -L 3307:127.0.0.3:3306 dbuser@mydomain.de" auf und lande wieder auf der Konsole bzw. kann mit dem cron-Skript fortfahren.
...
Ich kenne mich zwar nicht mit der Replikation von MySQL-Datenbanken aus, aber
Ich auch nicht. Aber ich werde mir das auf jeden Fall mal näher ansehen.
wenn ich was von einem passwortlosen ssh-Zugang hoere, dann straeuben sich mir die Nackenhaare.
Das müssen sie nicht ;-)
Doch, das muessen sie. Man kann - und wenn ich dich richtig verstanden habe, hast du das ja wohl getan - ssh so konfigurieren, dass User xy ohne Angabe eines Passworts (und auch ohne Schluessel) auf das Zielsystem zugreifen kann. Also kann jeder, der das weiss und den zugehoerigen Usernamen kennt, auf das System. Und in deinem Fall auch noch aus dem Internet. Schlimmer kann ein Sicherheitsloch ja wohl kaum sein ...
Was spricht denn dagegen, ssh-Keys zu verwenden (ssh -i ~/.ssh/myspecialkey -fNg ... oder in der Art). Dann braucht man auch kein Passwort einzutippen - und kann das problemlos mit mehreren Usern machen. Und wer den zugheoerigen secret key nicht hat - der kann nicht rein.
Es spricht nichts dagegen.
Ich frage bloß mal, wieviel Passwörter Du bei Verwednung der Schlüssel eingibst?
Gar keins. Ich erzeuge einmalig ein Schluesselpaar, alle Verbindungsaufbauten laufen dann damit, ohne dass ich noch Passwoerter eintippen muss. Stattdessen muss ich meinem ssh-Aufruf sagen, welchen Schluessel er benutzen soll. Das macht der -i Parameter, dem du den Schluessel (auch identity file genannt) mitgibts. (Siehe meine letzte Mail.) Auf der Kommandozeile ist das zwar auch viel Tipperei, aber in Scripts eingebaut laeuft dann alles vollautomatisch. Und da du schliesslich deinen SECRET key nie nie niemals nicht rausgibst, kannst auch nur du mit diesem Schluessel auf das Zielsystem. Auf dem Zielsystem muss der dortige User einmalig deinen PUBLIC key seinem "Schluesselbund" (Datei authorized_keys) hinzufuegen, dann geht's.
Ich gebe nämlich keine Passwörter ein; Schlüssel tauschen die Maschinen aber schon aus. Ich dachte, das solle gerade so sein. Ansonsten hätte ich ja auch das Problem mit den verschiedenen Usern nicht, weil ganz ohne Passwort stets ganz ohne Passwort bliebe.
Für mich als Laien ist das schon passwortlos. Ich bitte um Entschuldigung, falls ich mich da falsch ausgedrückt habe.
Du bezeichnest dich als Laien: hast du denn auf dem Zielsystem irgendwas konfiguriert? Oder hat das der Admin des Zielsystems fuer dich getan? Ich habe da so einen Verdacht ...
Ich habe die Feststellung gemacht, dass das Problem nicht auftaucht, wenn ich den Befehl in ein Skript nach /usr/local/bin packe und von dort aus mit sudo aufrufe. Die immer gleichen Parameter stehen im Skript, so dass das Skript selbst keine Parameter braucht. Ist das irgendwie besonders unsicher?
Gruß, Alex
Gruss, Hartwig -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org