Re: Ausführungsrechte
* Marc Haber <mh+debian-user-german@zugschlus.de> (Fri, 06 Jul 2007 12:50:59 +0200):
>
> On Fri, 06 Jul 2007 11:47:27 +0200, Peter Jordan
> <usernetwork@gmx.info> wrote:
> >Ich habe einen Backupserver, auf dem ich Daten von verschieden
> >Servern/PCs mittels rsync und ssh sichere. Da dieses Skript voll
> >automitsch abläuft, läuft der Login mittels des pub-key verfahrens; dass
> >ich per ssh kein root login erlaube versteht sich von selbst.
>
> Warum nicht?
>
> PermitRootLogin Forced-Commands-Only
>
> ist das, was Du suchst. Du kannst Dir natürlich auch mit sudo einen
> abbrechen, aber das halte ich für fehlerträchtiger und komplexer.
Andererseits schränkt man hier die volle Öffnung des root-Accounts "von
oben her ein"; vllt. verliert man beim mergen einer neuen sshd_config
das setting mal versehentlich oder es ist noch irgend ein Weg denkbar,
den man nicht wegeingeschränkt hat. Mit nur für ein einzelnes backup
script sudo-Rechte vergeben hingegen erlaubt man explizit nur das, "von
unten". Semantisch ist das möglicherweise schöner. (Und man kann ruhigen
Gewissens sein, dass root für SSH dicht ist.)
Ansonsten, gut zu wissen. ;) Kannte nur "PermitRootLogin without-password".
Gruß, Fabian
--
Fabian "zzz" Pietsch - http://zzz.arara.de/
Reply to: