Re: sudo ws root
Hello!
В сообщении от Tuesday 09 December 2008 21:58:56 Artem Chuprina написал(а):
> Пример. У меня есть сервер в Интернете, и машина в локальной сети,
> которая его бэкапит. В автопилоте. Она, натурально, идет туда по ssh
> юзером backup по ключу и запускает собственно команду бэкапа, сливающую
> результат в этот ssh. По sudo без пароля. Ровно эту команду и никакую
> другую.
>
> Предложи другой способ это сделать.
Например, делать периодически шифрованные бэкапы, и выкладывать их по http. Веб-сервер может слушать
виртуальный хост, не прописанный в днс, как говорится, "во избежание". Взлом машины с бэкапами,
которая "защищена ... не в пример слабее того сервера" не приводит к утечке данных.
А вот ходить по ключу как раз несекьюрно. Ибо при получении доступа на систему с бэкапами тут же
появляется доступ к основному серверу. Зная современную любовь к php/mysql и прочей дряни, из-под
любого юзера можно натворить что угодно (и уж как минимум открыть непривелигированный порт и
устроить ddos на несколько терабайт и т.п.). Если нужна _передача информации_, зачем давать доступ
к _управлению_ сервером (шелл)?
Best regards, Alexey.
Reply to: