Hallo, Joerg Thuemmler schrieb:
Andre Tann schrieb:
Hallo zusammen,
ich möchte gerne ein Backup von einem Mailserver erstellen, der in der DMZ steht. Ziel ist ein Fileserver, der im LAN steht. Gebackupt werden soll u.a.. /etc, /var usw, also Sachen, die uU nur root lesen kann.
Das Problem dabei ist, daß der Mailserver den Fileserver durch die Firewall nicht sieht. D.h. es kann nicht root auf dem Mailserver das Backup ausführen, und die Daten als irgend ein beliebiger Nutzer auf den Fileserver kippen.
Vielmehr müßte ich das Backup vom Fileserver aus anstoßen, und der müßte ein paßwortloses ssh-root-Login auf den Mailserver kriegen, um alles lesen zu können.
Ja, aber das ist doch genau der Sinn von SSH, hier wohl mit scp oder rsync.
Es gefällt mir nicht besonders, daß ich einen Root-Login auf den Mailserver erlauben soll. Welche Möglichkeiten hätte ich noch?
Danke+Gruß!
Hi,
kannst Du nicht den Mailserver per root-cronjob das Backup lokal zwischenspeichern lassen und der Fileserver holt es dann nur ab? Brauchst Du natürlich den entsprechenden Platz auf dem Mailserver ;-(
Letzteres wäre wohl das geringste Problem, aber wenn es um Dateien geht, die nur root lesen kann, dann wird sich wohl einer so seine Sicherheitsgedanken gemacht haben. Wenn Du jetzt die Sicherung für einen anderen Benutzer lesbar machst, dann musst Du zwar keine passwortlose root-Anmeldung mehr erlauben, immerhin aber eine für einen unprivilegierten Benutzer, der aber dann die Sicherung lesen können muss. Damit machst Du IMHO eine wesentlich größeres Sicherheitsleck auf, als mit SSH. Du könntest auch die Sicherung selber auf dem Meil-Server verschlüsseln (in ein verschlüsseltes Image packen), das der unprivilegierte Abholer nicht entschlüsseln, wohl aber lesen kann. Selbst root auf dem Backup-System müsste das Image nicht entschlüsseln können, wenn im Restore-Fall einfach das komplette, verschlüsselte Image wieder auf den Mail-Server transferiert wird. HTH, Tom -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org