Re: sudo ws root

[Alexey Pechnikov <pechnikov@sandy.ru>]

Hello!

В сообщении от Tuesday 09 December 2008 21:58:56 Artem Chuprina написал(а):
> Пример.  У меня есть сервер в Интернете, и машина в локальной сети,
> которая его бэкапит.  В автопилоте.  Она, натурально, идет туда по ssh
> юзером backup по ключу и запускает собственно команду бэкапа, сливающую
> результат в этот ssh.  По sudo без пароля.  Ровно эту команду и никакую
> другую.
>
> Предложи другой способ это сделать.  

Например, делать периодически шифрованные бэкапы, и выкладывать их по http. Веб-сервер может слушать 
виртуальный хост, не прописанный в днс, как говорится, "во избежание". Взлом машины с бэкапами, 
которая "защищена ... не в пример слабее того сервера" не приводит к утечке данных.

А вот ходить по ключу как раз несекьюрно. Ибо при получении доступа на систему с бэкапами тут же 
появляется доступ к основному серверу. Зная современную любовь к php/mysql и прочей дряни, из-под 
любого юзера можно натворить что угодно (и уж как минимум открыть непривелигированный порт и 
устроить ddos на несколько терабайт и т.п.). Если нужна _передача информации_, зачем давать доступ 
к _управлению_ сервером (шелл)?

Best regards, Alexey.