ClausVB
05.08.05, 11:13
Ausgangssituation: 2 Server, ein DEV- und ein LIVE-Server
Ziel: DEV- und LIVE-Server synchronisieren
Erklärung: Ich muss einen Cronjob anlegen, der 3x mal am Tag mit SCP das Verzeichnis "ssi" plus Unterverzeichnisse vom DEV [Redhat 8.x] auf den LIVE [Suse Enterprise] schieben muss.
Ich habe das schon mal versucht über
DEV:~ # ssh-keygen -b 1024 -t rsa1
Generating public/private rsa1 key pair.
Enter file in which to save the key (/root/.ssh/identity):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/identity.
Your public key has been saved in /root/.ssh/identity.pub.
The key fingerprint is:
so:me:ke:y:1c:b9:ea:ad:55:5b:71:1b:fd:71:a6:c4 root@DEV
DEV:~ # ls -la /root/.ssh/
total 16
-rw------- 1 root root 526 Jun 25 10:27 identity
-rw-r--r-- 1 root root 330 Jun 25 10:27 identity.pub
DEV:~ #
aber das funktioniert nur mit leerem Passwort, da ich es nicht hinbekomme dem Cronjob (verschlüsselt) das Passwort beizubringen. Ein leeres Passwort hat den negativen Effekt, dass man mit "ssh LIVE" ohne Passwort auf den LIVE kommt. Das ist nicht gewollt.
Aspekt Sicherheit: Mit "ssh LIVE" darf es NICHT möglich sein, ohne Passwort-Abfrage vom DEV auf den LIVE zu connecten. Mein Chef möchte das nicht, weil das Root-PW des DEV ca. 7 Leuten bekannt ist, aber das des LIVE nur 3 Leute und es sollen nicht alle 7 auf den LIVE connecten können. Natürlich müsste jemand nur die Cronjob-Datei auslesen, wenn dass PW dort im Klartext da steht. Deswegen wäre eine verschlüsselte Variante am besten, falls das überhaupt geht.
Denkbar wäre natürlich einen User zu generieren, dessen PW niemandem bekannt ist. Dazu wäre dann Insider-Wissen nötig, um mit "su - geheim_user" und dann "ssh LIVE" auf den LIVE-Server zu wechseln.
Kennt jemand ein anderes Verfahren? Oder weiß jemand, wie ich das mit einem Passphrase hinbekomme, die verschlüsselt in der Cronjobdatei steht?
Danke und Gruß
Claus
PS: Gelesen habe ich die Posts:
http://www.linuxforen.de/forums/showthread.php?p=1021182&highlight=SCP+Cronjob#post1021182
http://www.linuxforen.de/forums/showthread.php?p=810420&highlight=SCP+Cronjob#post810420
http://www.linuxforen.de/forums/showthread.php?t=43503&highlight=SCP+Cronjob
Ziel: DEV- und LIVE-Server synchronisieren
Erklärung: Ich muss einen Cronjob anlegen, der 3x mal am Tag mit SCP das Verzeichnis "ssi" plus Unterverzeichnisse vom DEV [Redhat 8.x] auf den LIVE [Suse Enterprise] schieben muss.
Ich habe das schon mal versucht über
DEV:~ # ssh-keygen -b 1024 -t rsa1
Generating public/private rsa1 key pair.
Enter file in which to save the key (/root/.ssh/identity):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/identity.
Your public key has been saved in /root/.ssh/identity.pub.
The key fingerprint is:
so:me:ke:y:1c:b9:ea:ad:55:5b:71:1b:fd:71:a6:c4 root@DEV
DEV:~ # ls -la /root/.ssh/
total 16
-rw------- 1 root root 526 Jun 25 10:27 identity
-rw-r--r-- 1 root root 330 Jun 25 10:27 identity.pub
DEV:~ #
aber das funktioniert nur mit leerem Passwort, da ich es nicht hinbekomme dem Cronjob (verschlüsselt) das Passwort beizubringen. Ein leeres Passwort hat den negativen Effekt, dass man mit "ssh LIVE" ohne Passwort auf den LIVE kommt. Das ist nicht gewollt.
Aspekt Sicherheit: Mit "ssh LIVE" darf es NICHT möglich sein, ohne Passwort-Abfrage vom DEV auf den LIVE zu connecten. Mein Chef möchte das nicht, weil das Root-PW des DEV ca. 7 Leuten bekannt ist, aber das des LIVE nur 3 Leute und es sollen nicht alle 7 auf den LIVE connecten können. Natürlich müsste jemand nur die Cronjob-Datei auslesen, wenn dass PW dort im Klartext da steht. Deswegen wäre eine verschlüsselte Variante am besten, falls das überhaupt geht.
Denkbar wäre natürlich einen User zu generieren, dessen PW niemandem bekannt ist. Dazu wäre dann Insider-Wissen nötig, um mit "su - geheim_user" und dann "ssh LIVE" auf den LIVE-Server zu wechseln.
Kennt jemand ein anderes Verfahren? Oder weiß jemand, wie ich das mit einem Passphrase hinbekomme, die verschlüsselt in der Cronjobdatei steht?
Danke und Gruß
Claus
PS: Gelesen habe ich die Posts:
http://www.linuxforen.de/forums/showthread.php?p=1021182&highlight=SCP+Cronjob#post1021182
http://www.linuxforen.de/forums/showthread.php?p=810420&highlight=SCP+Cronjob#post810420
http://www.linuxforen.de/forums/showthread.php?t=43503&highlight=SCP+Cronjob