Synchronisation und Sicherheit
Hallo, ich habe jetzt nach dem xten Anlauf unison endlich soweit im Griff, dass es mir 2 Verzeichnisse auf unterschiedlichen Rechnern mittels ssh synchronisiert. Im Moment stoße ich das noch per Hand an. Das Fernziel ist es aber, das ganze automatisch ohne Passwort ablaufen zu lassen. Ich möchte das störanfällige und lahme VPN weitestgehend neutralisieren. Meine Struktur sieht etwas so aus: Client <---> Server <-- VPN (unison = gleiche Daten) --> Server <---> Client Wie man ssh ohne Passwort macht, ist mir vom Grundsatz her klar. Ich habe jetzt aber mehrere Möglichkeiten: 1) Ich lasse das ganze mit nur einem Durchlauf als root für den gesamten Datenbestand laufen. Das geht am einfachsten und schnellsten. Es birgt aus meiner Sicht aber ein erhöhtes Risiko oder nicht? 2a) Ich lasse für jeden Benutzer den Datenbestand synchronisieren. Da muss ich aber für jeden Benutzer das passwortlose ssh, eine cronjob etc. einrichten. Senkt das signifikant das Sicherheitsrisiko, so dass sie diese _erhebliche Mehrarbeit_ lohnt? 2b) Falls 2a = ja: Wie synchronisiere ich den _gemeinsamen_ (alle Benutzer haben [teils unterschiedliche] Zugriffsrechte) Datenbestand? Gruß, Alex P.S. An verschiedenen Stellen im www wird auf CVS verwiesen. Die Verfechter von unison sind sich aber darin einig, dass das zu aufwendig ist - also genau das, was ich nicht will... -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Tue, Jan 31, 2012 at 02:49:19PM +0100, Alex Winzer wrote: Hallo,
2b) Falls 2a = ja: Wie synchronisiere ich den _gemeinsamen_ (alle Benutzer haben [teils unterschiedliche] Zugriffsrechte) Datenbestand?
Kann es sein, daß Du rsnapshot suchst? Rainer -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Am Dienstag, 31. Januar 2012, 14:49:19 schrieb Alex Winzer:
ich habe jetzt nach dem xten Anlauf unison endlich soweit im Griff, dass es mir 2 Verzeichnisse auf unterschiedlichen Rechnern mittels ssh synchronisiert. Im Moment stoße ich das noch per Hand an. Das Fernziel ist es aber, das ganze automatisch ohne Passwort ablaufen zu lassen. Ich möchte das störanfällige und lahme VPN weitestgehend neutralisieren. Meine Struktur sieht etwas so aus:
Client <---> Server <-- VPN (unison = gleiche Daten) --> Server <---> Client
Wie man ssh ohne Passwort macht, ist mir vom Grundsatz her klar. Ich habe jetzt aber mehrere Möglichkeiten:
1) Ich lasse das ganze mit nur einem Durchlauf als root für den gesamten Datenbestand laufen. Das geht am einfachsten und schnellsten. Es birgt aus meiner Sicht aber ein erhöhtes Risiko oder nicht? 2a) Ich lasse für jeden Benutzer den Datenbestand synchronisieren. Da muss ich aber für jeden Benutzer das passwortlose ssh, eine cronjob etc. einrichten. Senkt das signifikant das Sicherheitsrisiko, so dass sie diese _erhebliche Mehrarbeit_ lohnt? 2b) Falls 2a = ja: Wie synchronisiere ich den _gemeinsamen_ (alle Benutzer haben [teils unterschiedliche] Zugriffsrechte) Datenbestand?
was sollte daran gefährlich sein das ganze als root ablaufen zu lassen? ok: wenn man den einen Rechner gekapert hat, dann hat man automatisch den anderen auch da man ja via ssh ohne Passwort weiterkommt. Also Otto-Normal-User kann man das ja auch noch via sudo anstossen. Was macht man wenn es Konflikte gibt? D.h. auf beiden Rechnern wurde eine Datei geändert. Dann muss man unison händisch nachhelfen, einem Automatismus würde ich hier nicht trauen. (CVS hilft einem hier in Grenzen).
P.S. An verschiedenen Stellen im www wird auf CVS verwiesen. Die Verfechter von unison sind sich aber darin einig, dass das zu aufwendig ist - also genau das, was ich nicht will...
nein CVS ist was anderes, bzw. kann mehr und auch weniger. Bye Jürgen -- Dr.rer.nat. Jürgen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de ------------------------------------------------------------------------------- Diese EMail ist elektronisch mittels GPG / PGP signiert. Diese elektronische Unterschrift ist in einem EMail-Anhang enthalten. Leider kann die Signatur ohne die Installation entsprechender Programme weder geprüft noch angezeigt werden. Mehr dazu unter: http://www.gnupg.org oder auch http://www.pgpi.org -------------------------------------------------------------------------------
Alex Winzer schrieb:
Hallo,
ich habe jetzt nach dem xten Anlauf unison endlich soweit im Griff, dass es mir 2 Verzeichnisse auf unterschiedlichen Rechnern mittels ssh synchronisiert. Gruß, Alex
P.S. An verschiedenen Stellen im www wird auf CVS verwiesen. Die Verfechter von unison sind sich aber darin einig, dass das zu aufwendig ist - also genau das, was ich nicht will... vielleicht willst du du ein DMS ? (das ist ähnlich einem CVS, ähnlich dem was du da machst...) aber eben auch nur teilweise.
Verteilte Dokumente mit Historie auf verteilten Rechnern. Bei Unison (und ähnlichen ) musst du immer wissen, wer gewinnt.. Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo und danke für die Antworten, Am 31.01.2012 15:55, schrieb Fred Ockert:
Alex Winzer schrieb:
Hallo,
ich habe jetzt nach dem xten Anlauf unison endlich soweit im Griff, dass es mir 2 Verzeichnisse auf unterschiedlichen Rechnern mittels ssh synchronisiert. Gruß, Alex
P.S. An verschiedenen Stellen im www wird auf CVS verwiesen. Die Verfechter von unison sind sich aber darin einig, dass das zu aufwendig ist - also genau das, was ich nicht will... vielleicht willst du du ein DMS ? (das ist ähnlich einem CVS, ähnlich dem was du da machst...) aber eben auch nur teilweise.
Nö. Das ist eher mit Kanonen auf Spatzen. unison ist schon genau das, was ich suche. Ich habe eben bloß Sicherheitsbedenken. Und zwar genau die, welche Jürgen in seiner Mail angesprochen hatte: Dass ein Angreifer nämlich beide Rechner im Griff hat, wenn er einen im Griff hat. Mal so nebenbei gefragt: Wie macht Ihr das, wenn Ihr einen Server habt, der in einem entfernten Büro steht und läuft und wo man nicht jeden Tag nachsieht, ob er geklaut wurde? Über den Ansatz mit sudo muss ich nachgrübeln.
Verteilte Dokumente mit Historie auf verteilten Rechnern. Bei Unison (und ähnlichen ) musst du immer wissen, wer gewinnt..
Das ist der Fall! Unser Büro ist verhältnismäßig schlank. Man weiß also, welcher Bearbeiter welche Datei am wickel hat. Zudem benutzen wir OpenOffice, das Dateien standardmäßig sperrt, wenn schon ein anderer Bearbeiter dran ist. unison wiederum ist so schnell, dass diese lock-Dateien schnell geschrieben werden. Ich habe also wirklich nur _sicherheitstechnische_ Bedenken, weil ich weiß wer gewinnt ;-) Hauptsächlich geht es mir auch um den Abgleich der Profile unseres PDC. Roaming über unser VPN ist ausgeschlossen. Und in den 30 Minuten, die ein Mitarbeiter von einem zum anderen Büro fährt, sind die Unterschiede abgewickelt... Gruß, Alex -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
hallo, Am Dienstag, 31. Januar 2012, 17:11:54 schrieb Alex Winzer:
unison ist schon genau das, was ich suche. Ich habe eben bloß Sicherheitsbedenken. Und zwar genau die, welche Jürgen in seiner Mail angesprochen hatte: Dass ein Angreifer nämlich beide Rechner im Griff hat, wenn er einen im Griff hat. Mal so nebenbei gefragt: Wie macht Ihr das, wenn Ihr einen Server habt, der in einem entfernten Büro steht und läuft und wo man nicht jeden Tag nachsieht, ob er geklaut wurde?
ok, man kann alles was man mit ssh darf extrem einschränken, z.B. ausführen nur genau eines bestimmten Programmes mit bestimmten Parametern. Siehe z.B. http://www.ostc.de/howtos/ssh-HOWTO.txt Punkt 5.8 5.8) Fixes Kommando ausführen ----------------------------- In "authorized_keys" VOR dem Schlüssel-Typ die Option "command=..." angeben (alles in einer Zeile, das Kommando in "..." oder '...' einschließen hier also script eintragen welches man ausführen möchte, wenn sich jemand per ssh anmeldet. das muss ja nicht root sein, sondern der user "foobar". Das Script selbst kann dann ja per stick-bit mit root rechten ausführen lassen, oder sudo benutzen. Dann ist zumindest hat man den root-Zugang gesperrt, und foobar darf beim Anmelden mit ssh nur genau ein Kommando ausführen (auf dessen seicherheit man dann aber achten sollte) bye Jürgen Bye Jürgen -- Dr.rer.nat. Jürgen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de ------------------------------------------------------------------------------- Diese EMail ist elektronisch mittels GPG / PGP signiert. Diese elektronische Unterschrift ist in einem EMail-Anhang enthalten. Leider kann die Signatur ohne die Installation entsprechender Programme weder geprüft noch angezeigt werden. Mehr dazu unter: http://www.gnupg.org oder auch http://www.pgpi.org -------------------------------------------------------------------------------
On Tue, Jan 31, 2012 at 06:21:11PM +0100, Dr. Jürgen Vollmer wrote:
das muss ja nicht root sein, sondern der user "foobar". Das Script selbst kann dann ja per stick-bit mit root rechten ausführen lassen, oder sudo benutzen.
Bei Skripten funtioniert setuid (das meinst Du sicherlich, nicht sticky) nicht - aus Sicherheitsgründen. Wenn, dann müßte man sich einen Wrapper um das Skript schreiben. Ich denke ja immernoch, daß der OP rsnapshot sucht… Rainer -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Am 31.01.2012 19:52, schrieb Rainer Sokoll:
On Tue, Jan 31, 2012 at 06:21:11PM +0100, Dr. Jürgen Vollmer wrote:
das muss ja nicht root sein, sondern der user "foobar". Das Script selbst kann dann ja per stick-bit mit root rechten ausführen lassen, oder sudo benutzen. Bei Skripten funtioniert setuid (das meinst Du sicherlich, nicht sticky) nicht - aus Sicherheitsgründen. Wenn, dann müßte man sich einen Wrapper um das Skript schreiben. Ich denke ja immernoch, daß der OP rsnapshot sucht… Erklärt mir doch bitte mal warum. Was kann rsnapshot besser als unison - bezogen auf mein Ausgangsfrage? Diese Frage (was kann es besser) ist auch nicht rein polemischer Natur. Möglicher Weise weiß ich gar nicht, was rsnapshot alles leisten kann und warum es zudem sicherer ist.
Ich jedenfalls benutze rsnapshot für meine Backups. Das macht es schon schwierig 2 unterschiedliche Konfigurationen zu fahren. Dazu hatte ich mal vor langer Zeit fragen, weil ich bei 'rsnapshot weekly' völlig andere Daten gesichert haben wollte als bei 'rsnapshot daily'. Bei meinem Synchronisieren wären es wieder andere Daten. Außerdem kann rsnapshot - soweit ich das überblicken kann - nicht in beide Richtungen synchronisieren. Ich müsste also nacheinander in beide Richtungen synchronisieren. Und was passiert, wenn etwas gelöscht/verschoben (umbenannt) wurde? Dann ist es beim nächsten Durchlauf wieder/doppelt da. Da muss ich erst Recht ständig nacharbeiten und kann es nicht automatisieren. Schließlich kommt hinzu, dass unison erheblich schneller ist, weil es ein Archiv mit Prüfsummen (oder ähnlichem?) anlegt und daher wirklich nur das abgleicht, was sich geändert hat. Gelöschte Daten werden auch nicht einfach blind wieder angelegt, sondern - wenn nach dem Abgleich gelöscht - auch auf der anderen Seite vernichtet. Wie geht das mit rsnapshot? Also im Moment gibt es einen, der meine Sicherheitsbedenken teilt. Alle anderen erklären mir bloß, ich habe das falsche Programm für meine Zwecke. Daraus ziehe ich also den Schluss, dass das Sicherheitsproblem "nicht so problematisch" ist und ich meinen Plan unison mit root-Rechten per cron ausführen zu lassen, in die Tat umsetzen kann. Denn unabhängig davon würde bei 'rsnapshot' dasselbe Problem bestehen bleiben. Gruß, Alex -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On 31.01.2012 17:11, Alex Winzer wrote:
Ich habe eben bloß Sicherheitsbedenken. Und zwar genau die, welche Jürgen in seiner Mail angesprochen hatte: Dass ein Angreifer nämlich beide Rechner im Griff hat, wenn er einen im Griff hat.
Warum sollte jemanden der Zugriff auf alle Deine Rechner interessieren wenn Du diese eh regelmäßig mit dem Rechner synchronisierst den er klaut? Wenn der Rechner im Büro tatsächlich so gefährdet ist, würde ich deshalb eine Verschlüsselung der Festplatte in Betracht ziehen. Da davon auszugehen ist das der Einbrecher, sich weder Vor-Ort hinsetzt und anfängt zu hacken, noch die Stromleitung mit nimmt, wären sowohl Daten als auch ssh-keys sicher. -- Herzliche Grüße Tao -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Am 31.01.2012 22:48, schrieb Tao te Puh:
On 31.01.2012 17:11, Alex Winzer wrote:
... Dass ein Angreifer nämlich beide Rechner im Griff hat, wenn er einen im Griff hat.
Warum sollte jemanden der Zugriff auf alle Deine Rechner interessieren wenn Du diese eh regelmäßig mit dem Rechner synchronisierst den er klaut?
Wenn der Rechner im Büro tatsächlich so gefährdet ist, würde ich deshalb eine Verschlüsselung der Festplatte in Betracht ziehen. Da davon auszugehen ist das der Einbrecher, sich weder Vor-Ort hinsetzt und anfängt zu hacken, noch die Stromleitung mit nimmt, wären sowohl Daten als auch ssh-keys sicher. Die Daten-Partitionen und /home mit den Profilen wurden bereits bei der Installation/Partitionierung verschlüsselt. Darum geht es in meiner Frage überhaupt nicht. Und da dieser konkrete Rechner "sicherheitshalber" ohne USV betrieben ist, geht er in der Tat aus, wenn der Stecker gezogen wird. <paranoid> Nur mal so nebenbei: Was ist, wenn die zu zweit sind und eine vorhandene USV auch mitnehmen. Dann könnten die je nach Gerät so ca. 40 Minuten den Rechner im Betrieb zu sich nach Hause tragen und dort wieder ranstöpseln... </paranoid>
Es besteht das Problem, dass ich den Rechner nie im Büro, sondern immer von zu Hause aus warten werde. Ich sitze also beim booten nicht daneben, so dass ich die Passwörter nicht eingeben kann. Ich mounte die verschlüsselten Partitionen daher _erst später_, wenn der Rechner hochgefahren ist. Dann logge ich mich per ssh ein und gebe beim Mounten brav die Passwörter ein. Aus diesem Grunde kann ich / meines Erachtens nicht verschlüsseln, womit auch /root und /root/.ssh unverschlüsselt bleiben. Ich habe das Problem jetzt aber insoweit gelöst, dass ich für /root/.ssh einen symlink auf eine der verschlüsselten Partitionen gelegt habe. Das Synchronisieren gelingt daher erst, wenn jemand die Partitionen mounten konnte. Hierfür braucht man die Passwörter. Muss ich also bloß noch ein Skript zusammenbasteln, was mir vor dem Anwerfen der Synchronisation prüft, ob root an sein /.ssh kommt. Das bekomme ich aber auch noch hin ;-) Da also nichts gegen eine Synchronisation als root spricht, bleibt meine letzte Frage: Spricht etwas gegen den Pfad /home/.root-ssh als Speicherort für die Keys, wobei /home nebst allen Unterverzeichnissen auf einer verschlüsselten Partition liegt? Danke nochmal im Voraus! Gruß, Alex -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On 31.01.2012 14:49, Alex Winzer wrote:
1) Ich lasse das ganze mit nur einem Durchlauf als root für den gesamten Datenbestand laufen. Das geht am einfachsten und schnellsten. Es birgt aus meiner Sicht aber ein erhöhtes Risiko oder nicht?
Was für ein Risiko siehst Du denn? -- Herzliche Grüße Tao -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (5)
-
Alex Winzer -
Dr. Jürgen Vollmer -
Fred Ockert -
Rainer Sokoll -
Tao te Puh