---

Hej

Jeg har en server der skal tage backup af en række klienter på nogle
andre lokationer via vores internet forbindelse.

Jeg har valgt at bruge rdiff-backup. Jeg har lavet en speciel backup
bruger på serveren og alle klienterne til at foretage selv backup'en. Da
jeg ikke har lyst til at åbne for root ssh access.
På klienterne har jeg indsat command="rdiff-backup --server" i backup
brugerens .ssh/authorized_keys. Og det virker fint.

MEN min backup-bruger kan kun læse de filer som brugerne har valgt at
dele i deres home folders. Da min backup-bruger bare er en almindelig
bruger. Hvilket jo ikke er smart.

Så hvorledes kan jeg på en smart måde give min backup bruger læse adgang
til hele /home.

Pga. andre omstændigheder er det serveren der skal starte backup'en. Så
et cron job på klienterne duer ikke.

Alle maskiner køre Debian. Serveren køre sarge, og klienterne en
blanding af sarge og etch.

Er der en anden måde at åbne samme resultat, uden at åbne for meget op
for root access?

Venlig Hilsen
Mads

---

Mads wrote:
> Så hvorledes kan jeg på en smart måde give min backup bruger læse
adgang
> til hele /home.

Enten:

1) opretter du en root-bruger der kun kan køre rsync når der logges ind
via ssh; eller
2) lader root tar brugernes filer til et andet sted på klienten hvor
backup brugeren kan læse tarballen.

Nåja, du kunne naturligvis lade backup brugeren være group owner af alle
filer på /home og sørge for de var group-readable, men det er virkeligt
grimt og kan let fejle.

Jeg ville benytte metode 2 ovenfor.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Hej Mads

Reelt er der ikke andre muligheder end at lade backup'en køre som
root, på den ene eller anden måde. Alle backup systemer jeg kender har
det på den måde.

/Søren


Mads wrote:
> Hej
>
> Jeg har en server der skal tage backup af en række klienter på nogle
> andre lokationer via vores internet forbindelse.
>
> Jeg har valgt at bruge rdiff-backup. Jeg har lavet en speciel backup
> bruger på serveren og alle klienterne til at foretage selv backup'en. Da
> jeg ikke har lyst til at åbne for root ssh access.
> På klienterne har jeg indsat command="rdiff-backup --server" i backup
> brugerens .ssh/authorized_keys. Og det virker fint.
>
> MEN min backup-bruger kan kun læse de filer som brugerne har valgt at
> dele i deres home folders. Da min backup-bruger bare er en almindelig
> bruger. Hvilket jo ikke er smart.
>
> Så hvorledes kan jeg på en smart måde give min backup bruger læse adgang
> til hele /home.
>
> Pga. andre omstændigheder er det serveren der skal starte backup'en. Så
> et cron job på klienterne duer ikke.
>
> Alle maskiner køre Debian. Serveren køre sarge, og klienterne en
> blanding af sarge og etch.
>
> Er der en anden måde at åbne samme resultat, uden at åbne for meget op
> for root access?
>
> Venlig Hilsen
> Mads

---

Tak for jeres svar.

Jeg endte med at tilføje min backup bruger til sudoers.
Så backup bruger har adgang til:
sudo rdiff-backup --server --restrict-read-only /home

Venlig hilsen
Mads