Re: scp question
Jan Luehr <[EMAIL PROTECTED]> schrieb: > Wenn wir mal bedenken, dass eine Brute-Force gefährdung nur bei kürzen > Kennwörter und nur bei Kenntnis des Hashes existiert, ist ein SSH-Brute-Force > schon absurd. > (Auch wenn ein paar Pappenheimer, das bei uns mal versucht haben) -v Wie lief das im Einzelnen ab? War es nervig oder überwog der Auslachfaktor? -- MFG, Johannes http://home.arcor.de/jstarosta -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: scp question
ja hallo erstmal,... Am Donnerstag, 1. September 2005 13:09 schrieb Christian Frommeyer: > Am Donnerstag 01 September 2005 09:30 schrieb Jan Luehr: > > Aber mal ernsthaft: Remote-Brute-Force - das ist nicht dein Ernst, > > oder? > > Ich hab da keine Angst vor, wenn Du das meinst, aber gabs hier nicht > letzt erst nen Thread wegen vollen Logs, wo offensichtlich SSH > brute-force Attacken gestartet wurden? Imho waren das schon Wörterbuch-Attacken. Wenn du nur ein a musst du das wohl nicht fürchten. Wenn wir mal bedenken, dass eine Brute-Force gefährdung nur bei kürzen Kennwörter und nur bei Kenntnis des Hashes existiert, ist ein SSH-Brute-Force schon absurd. (Auch wenn ein paar Pappenheimer, das bei uns mal versucht haben) Keep smiling yanosz
Re: scp question
Am Donnerstag 01 September 2005 09:30 schrieb Jan Luehr: > Aber mal ernsthaft: Remote-Brute-Force - das ist nicht dein Ernst, > oder? Ich hab da keine Angst vor, wenn Du das meinst, aber gabs hier nicht letzt erst nen Thread wegen vollen Logs, wo offensichtlich SSH brute-force Attacken gestartet wurden? Gruß Chris -- A: because it distrupts the normal process of thought Q: why is top posting frowned upon
Re: scp question
ja hallo erstmal,... Am Mittwoch, 31. August 2005 11:36 schrieb Florian Schnabel: > Christian Frommeyer wrote: > >Am Mittwoch 31 August 2005 11:09 schrieb Markus Schulz: > >>Wenn Rechner A geknackt wird, spielt es imo keine Geige ob der > > > >Magst Du vielleicht meine Mail nochmal lesen und verstehen und dann > >nochmal überlegen ob Du meiner Meinung bist? > > > >Gruß Chris > > hm .. so oder so muss ichs zum funzen bringen ... > > ich habe jetzt versucht SCP mit ssh-keys zu benutzen klappt aber nciht Bei mir schon. Wo hängt's? > auf dem zielrechner hätte ich dann den user mit rssh auf scp > eingeschränkt damit der keine shell kriegt .. > ich hätte auch kein problem damit das passwort in einem script zu > hinterlegen. > wer an den fileserver als root rankommt auf dem die backups liegen > braucht auf die anderen rechner eh nimmer ^^ In diesem Fall braucht der user auf dem Fileserver aber auch keine besonders restriktive shell - da nur Root auf dem Fileserver in der Lage sein wird, sich mit diesem Benutzer am Backupserver anzumelden. Keep smiling yanosz
Re: scp question
ja hallo erstmal,... Am Mittwoch, 31. August 2005 10:58 schrieb Christian Frommeyer: > Am Mittwoch 31 August 2005 10:54 schrieb Markus Schulz: > > Sicherheitstechnisch dürfte es wohl egal sein ob ich ein Passwort in > > einer Datei drin stehen habe oder den privaten Schlüssel ohne > > Passphrase auf der Platte liegen habe. > > Keines von beiden ist sicherer als das andere. > > Wenn der Rechner geknackt wird nicht. Wenn jemand versucht den Account > zu missbrauchen ohne Zugriff auf Passwort/Schlüssel zu haben würde ich > behaupten, das der Schlüssel in der meisten Fälle die größere > Sicherheit bietet. Das hängt vom Kennwort ab und der eingesetzten Verschlüsselung ab. Aber mal ernsthaft: Remote-Brute-Force - das ist nicht dein Ernst, oder? Keep smiling yanosz
Re: scp question
ja hallo erstmal,... Am Mittwoch, 31. August 2005 10:54 schrieb Markus Schulz: > On Wednesday 31 August 2005 10:44, Christian Frommeyer wrote: > > Am Dienstag 30 August 2005 23:18 schrieb Jan Luehr: > > > Wo in diesem Fall der Public-Key im Klartext (also ohne Passphrase) > > > zu sehen ist... > > > > Was wohl eher kein Problem ist, da es ja ein Feature von asymetrischen > > Verfahren ist, das der Public-Key (hoffentlich) keinem beim Knacken > > weiter hilft. > > Das selbe gilt hier freilich auch für den Private-Key, so das der > > Vorteil hier wohl eher darin besteht, das das Verfahren bereits > > eingebaut ist (also nichts mehr gebastelt werden muss) und eine > > Brute-Force Attacke von außen wohl etwas schwerer ist. > > ich glaube er meinte auch private Key. Ja. Danke. > Sicherheitstechnisch dürfte es wohl egal sein ob ich ein Passwort in einer > Datei drin stehen habe oder den privaten Schlüssel ohne Passphrase auf der > Platte liegen habe. > Keines von beiden ist sicherer als das andere. Das meinte ich. Keep smiling yanosz
Re: scp question
ja hallo erstmal,... Am Mittwoch, 31. August 2005 10:45 schrieb Markus Schulz: > On Wednesday 31 August 2005 06:04, Markus Meyer wrote: > > On [Tue, Aug 30 23:18], Jan Luehr wrote: > > >Wo in diesem Fall der Public-Key im Klartext (also ohne Passphrase) zu > > > sehen ist... Meinte zwar private key... > > ssh-agent > > ist dann aber keine 100% autonome Lösung mehr, da ich den Key einmal von > Hand übergeben muss. Andernfalls muss du von Hand, die Kennwörter synchronisieren, was auch nicht autonom ist. > Bevorzugen würde ich diese Variante, wenn möglich, aber trotzdem. Keep smiling yanosz
Re: scp question
On Wednesday 31 August 2005 14:28, Christian Frommeyer wrote: > Du hast mich nicht verstanden. > Für die Sicherheit der Passwort- bzw. Private-Key-Datei ist lediglich > das Sicherheitssystem von Rechner A zuständig. Wenn da einer rein > kommt ist alles verloren. > Das Problem (nur deshalb müssen die o.g. Dateien ja geheim bleiben) > ist die Sicherheit des Zugangs auf Rechner B. Und die ist IMHO höher > bei Zugang über priv/pub-key als bei Passwortauthentifikation. Das > hat mit Rechner A nichts mehr zu tun. Die Frage ist ja (da die > Sicherheit im Falle eines Einbruchs auf Rechner A nicht vom Verfahren > abhängt) auch nur, welches Verfahren bei angenommener Sicherheit von > Rechner A günstiger ist. ah, jetzt versteh ich :) du beziehst dich also nur auf die Auth-Methode als solche und da ist ein Schlüssel natürlich sicherer als ein Passwort, da idR schwerer zu erraten. Mir ging es nur um die Sicherheit der beiden Files auf dem Rechner. Aber klar, da geh ich natürlich mit konform das Key-Auth sicherer ist als ein Password-Auth. Markus -- Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning. - Rich Cook
Re: scp question
Am Mittwoch 31 August 2005 14:03 schrieb Markus Schulz: > Ich glaube jetzt vertauscht du die Rechner. Nein. > Wenn Rechner B gehackt wird, liegt dort weder das Passwort File (also > das Klartext File, passwd ist natürlich dort vorhanden) noch der Priv > Key sondern nur der PubKey bei 1. Variante. Korrekt. > Rechner B hacken/account mißbrauchen ist also vollkommen egal für die > Betrachtung. Du hast mich nicht verstanden. Für die Sicherheit der Passwort- bzw. Private-Key-Datei ist lediglich das Sicherheitssystem von Rechner A zuständig. Wenn da einer rein kommt ist alles verloren. Das Problem (nur deshalb müssen die o.g. Dateien ja geheim bleiben) ist die Sicherheit des Zugangs auf Rechner B. Und die ist IMHO höher bei Zugang über priv/pub-key als bei Passwortauthentifikation. Das hat mit Rechner A nichts mehr zu tun. Die Frage ist ja (da die Sicherheit im Falle eines Einbruchs auf Rechner A nicht vom Verfahren abhängt) auch nur, welches Verfahren bei angenommener Sicherheit von Rechner A günstiger ist. Gruß Chris -- A: because it distrupts the normal process of thought Q: why is top posting frowned upon
Re: scp question
On Wednesday 31 August 2005 11:47, Christian Frommeyer wrote: > Am Mittwoch 31 August 2005 11:37 schrieb Markus Schulz: > > > Wenn jemand versucht den Account zu missbrauchen ohne Zugriff auf > > > Passwort/Schlüssel zu haben würde ich behaupten, das der > > > Schlüssel in der meisten Fälle die größere Sicherheit bietet. > > > > was soll das bedeuten? welcher Account wird denn mißbraucht? Es > > geht > > Naja der auf Rechner B, der auf Rechner A hat ja weder mit dem > Passwort noch mit dem Schlüssel zu tun. Ich glaube jetzt vertauscht du die Rechner. Szenario:(das ich eingangs beschrieben habe und woll auch gewünscht ist) Daten kopieren von Rechner A auf Rechner B. Von Rechner A angestossen. (d.h. Script läuft auf Rechner A) Dazu liegt auf Rechner A ein private Key und auf Rechner B der pubKey im Authorized File. Oder auf Rechner A existiert eine Datei mit dem Klartext-Passwort für Rechner B. Wenn Rechner B gehackt wird, liegt dort weder das Passwort File (also das Klartext File, passwd ist natürlich dort vorhanden) noch der Priv Key sondern nur der PubKey bei 1. Variante. Rechner B hacken/account mißbrauchen ist also vollkommen egal für die Betrachtung. Es geht ja um die Sicherheit der beiden Dateien (privKey und passwd-File) auf Rechner A. Wenn der Account dort mißbraucht wird ist beides gleich unsicher, denn beides müssen Dateien sein die er dort lesen kann, damit sein Script dort auch ausgeführt werden kann. Markus P.S. wird langsam etwas offtopic, zumal ich glaube das das Steuern mit Expect beim ssh-Keyboard Authentification eh nicht funktionieren wird (wird nicht von stdin gelesen) , sicher bin ich da aber nicht. -- "Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning."
Re: scp question
Am Mittwoch 31 August 2005 11:37 schrieb Markus Schulz: > > Wenn jemand versucht den Account zu missbrauchen ohne Zugriff auf > > Passwort/Schlüssel zu haben würde ich behaupten, das der Schlüssel > > in der meisten Fälle die größere Sicherheit bietet. > > was soll das bedeuten? welcher Account wird denn mißbraucht? Es geht Naja der auf Rechner B, der auf Rechner A hat ja weder mit dem Passwort noch mit dem Schlüssel zu tun. > doch um den Account auf Rechner A von dem sich auf Rechner B > eingeloggt wird. Er sollte also Zugriff auf den Schlüssel oder die > Passwort Datei besitzen?!? Eben nicht. in dem Fall hatte ich ja schon geschrieben, ists um die Sicherheit eh schon geschehen. Gruß Chris -- A: because it distrupts the normal process of thought Q: why is top posting frowned upon
Re: scp question
On Wednesday 31 August 2005 11:22, Christian Frommeyer wrote: > Am Mittwoch 31 August 2005 11:09 schrieb Markus Schulz: > > Wenn Rechner A geknackt wird, spielt es imo keine Geige ob der > > Magst Du vielleicht meine Mail nochmal lesen und verstehen und dann > nochmal überlegen ob Du meiner Meinung bist? ja und genau das versteh ich nicht. du schriebst: > Wenn der Rechner geknackt wird nicht. das ist mir klar. und hatte ich wohl auch überlesen. da Stimme ich auf jeden Fall mit überein. > Wenn jemand versucht den Account zu missbrauchen ohne Zugriff auf Passwort/Schlüssel zu haben würde ich behaupten, das der Schlüssel in der meisten Fälle die größere Sicherheit bietet. was soll das bedeuten? welcher Account wird denn mißbraucht? Es geht doch um den Account auf Rechner A von dem sich auf Rechner B eingeloggt wird. Er sollte also Zugriff auf den Schlüssel oder die Passwort Datei besitzen?!? Ich sehe einfach keinen Unterschied in zwei Dateien (eine mit privKey eine mit Passwort) mit gleichen Rechten auf einem Rechner in punkto Sicherheit. Markus -- "Wenn manche Leute verstanden hätten, wie Patente erteilt werden würden, als die meisten der heutigen Ideen erfunden wurden, und wenn sie sich dann Patente geholt hätten, wäre unsere Branche heute im kompletten Stillstand." Bill Gates (1991)
Re: scp question
Christian Frommeyer wrote: Am Mittwoch 31 August 2005 11:09 schrieb Markus Schulz: Wenn Rechner A geknackt wird, spielt es imo keine Geige ob der Magst Du vielleicht meine Mail nochmal lesen und verstehen und dann nochmal überlegen ob Du meiner Meinung bist? Gruß Chris hm .. so oder so muss ichs zum funzen bringen ... ich habe jetzt versucht SCP mit ssh-keys zu benutzen klappt aber nciht auf dem zielrechner hätte ich dann den user mit rssh auf scp eingeschränkt damit der keine shell kriegt .. ich hätte auch kein problem damit das passwort in einem script zu hinterlegen. wer an den fileserver als root rankommt auf dem die backups liegen braucht auf die anderen rechner eh nimmer ^^ wie müsste ich das dann anstellen ? Florian -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: scp question
Am Mittwoch 31 August 2005 11:09 schrieb Markus Schulz: > Wenn Rechner A geknackt wird, spielt es imo keine Geige ob der Magst Du vielleicht meine Mail nochmal lesen und verstehen und dann nochmal überlegen ob Du meiner Meinung bist? Gruß Chris -- A: because it distrupts the normal process of thought Q: why is top posting frowned upon
Re: scp question
On Wednesday 31 August 2005 10:58, Christian Frommeyer wrote: > Am Mittwoch 31 August 2005 10:54 schrieb Markus Schulz: > > Sicherheitstechnisch dürfte es wohl egal sein ob ich ein Passwort in > > einer Datei drin stehen habe oder den privaten Schlüssel ohne > > Passphrase auf der Platte liegen habe. > > Keines von beiden ist sicherer als das andere. > > Wenn der Rechner geknackt wird nicht. Wenn jemand versucht den Account > zu missbrauchen ohne Zugriff auf Passwort/Schlüssel zu haben würde ich > behaupten, das der Schlüssel in der meisten Fälle die größere > Sicherheit bietet. Wieso? Sowohl das Passwort als auch der Priv Key sind Dateien die als solche beide die gleiche Sicherheit bieten. ich dachte wir reden von einem Rechner A wo entweder ein private Key oder eine Datei mit dem Passwort für Rechner B liegt um autonomen (scriptbaren) Zugriff auf Rechner B zu bieten. Wenn Rechner A geknackt wird, spielt es imo keine Geige ob der Angreifer dort einen Schlüssel ohne Passphrase oder ein Passwort in einer Datei für Rechner B vorfindet... Markus -- "Wenn manche Leute verstanden hätten, wie Patente erteilt werden würden, als die meisten der heutigen Ideen erfunden wurden, und wenn sie sich dann Patente geholt hätten, wäre unsere Branche heute im kompletten Stillstand." Bill Gates (1991)
Re: scp question
Am Mittwoch 31 August 2005 10:54 schrieb Markus Schulz: > Sicherheitstechnisch dürfte es wohl egal sein ob ich ein Passwort in > einer Datei drin stehen habe oder den privaten Schlüssel ohne > Passphrase auf der Platte liegen habe. > Keines von beiden ist sicherer als das andere. Wenn der Rechner geknackt wird nicht. Wenn jemand versucht den Account zu missbrauchen ohne Zugriff auf Passwort/Schlüssel zu haben würde ich behaupten, das der Schlüssel in der meisten Fälle die größere Sicherheit bietet. Gruß Chris -- A: because it distrupts the normal process of thought Q: why is top posting frowned upon
Re: scp question
On Wednesday 31 August 2005 10:44, Christian Frommeyer wrote: > Am Dienstag 30 August 2005 23:18 schrieb Jan Luehr: > > Wo in diesem Fall der Public-Key im Klartext (also ohne Passphrase) > > zu sehen ist... > > Was wohl eher kein Problem ist, da es ja ein Feature von asymetrischen > Verfahren ist, das der Public-Key (hoffentlich) keinem beim Knacken > weiter hilft. > Das selbe gilt hier freilich auch für den Private-Key, so das der > Vorteil hier wohl eher darin besteht, das das Verfahren bereits > eingebaut ist (also nichts mehr gebastelt werden muss) und eine > Brute-Force Attacke von außen wohl etwas schwerer ist. ich glaube er meinte auch private Key. Sicherheitstechnisch dürfte es wohl egal sein ob ich ein Passwort in einer Datei drin stehen habe oder den privaten Schlüssel ohne Passphrase auf der Platte liegen habe. Keines von beiden ist sicherer als das andere. -- Hm, wenn man sich nach einem Screenlock gar nicht mehr wieder anmelden kann, ist das natürlich sehr sicher. In diesem Sinne wird die Sicherheit des Systems durch den Bug sogar sehr erhöht. :-))
Re: scp question
On Wednesday 31 August 2005 06:04, Markus Meyer wrote: > On [Tue, Aug 30 23:18], Jan Luehr wrote: > >Wo in diesem Fall der Public-Key im Klartext (also ohne Passphrase) zu > > sehen ist... > > ssh-agent ist dann aber keine 100% autonome Lösung mehr, da ich den Key einmal von Hand übergeben muss. Bevorzugen würde ich diese Variante, wenn möglich, aber trotzdem. Markus -- Grid Computing erfreut sich gerade bei Windows-Nutzern sehr regem Zuspruch, auch wenn die Rechnerbesitzer meist nichts von ihrem Glück wissen.
Re: scp question
Am Dienstag 30 August 2005 23:18 schrieb Jan Luehr: > Wo in diesem Fall der Public-Key im Klartext (also ohne Passphrase) > zu sehen ist... Was wohl eher kein Problem ist, da es ja ein Feature von asymetrischen Verfahren ist, das der Public-Key (hoffentlich) keinem beim Knacken weiter hilft. Das selbe gilt hier freilich auch für den Private-Key, so das der Vorteil hier wohl eher darin besteht, das das Verfahren bereits eingebaut ist (also nichts mehr gebastelt werden muss) und eine Brute-Force Attacke von außen wohl etwas schwerer ist. Gruß Chris -- A: because it distrupts the normal process of thought Q: why is top posting frowned upon
Re: scp question
On [Tue, Aug 30 23:18], Jan Luehr wrote: Wo in diesem Fall der Public-Key im Klartext (also ohne Passphrase) zu sehen ist... ssh-agent -- Markus Meyer - encrypted email preferred -> GPG: B87120ED --- hat einer von euch schon bind9 installiert? das neue root kit? :-> pgpFc8bv9n9F7.pgp Description: PGP signature
Re: scp question
Hallo Jan, * Jan Luehr <[EMAIL PROTECTED]> [20050830 23:20]: > google nach scponly Ich würde lieber zu rssh greifen, scheint mir vom Design her sicherer (d.h. keine konfigurierbaren Ausnahmen). Grüße, Felix -- | /"\ ASCII Ribbon | Felix M. Palmen (Zirias)http://zirias.ath.cx/ | | \ / Campaign Against | [EMAIL PROTECTED] encrypted mail welcome | | XHTML In Mail | PGP key: http://zirias.ath.cx/pub.txt | | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 | signature.asc Description: Digital signature
Re: scp question
ja hallo erstmal,.. Am Dienstag, 30. August 2005 16:23 schrieb Florian Schnabel: > Felix M. Palmen wrote: > >Hallo Florian, > > > >* Florian Schnabel <[EMAIL PROTECTED]> [20050830 15:00]: > >>hm .. wenn ich das richtig verstanden hab kann ich den SSH-key auf ein > >>kommando einschränken damit darüber keine shell geöffnet werden kann ... > >>worauf muss cihs denn einschränken wenn über scp nur eine datei > >>geschrieben werden soll ?? > > > >Nun das mit dem Kommando ist ein Ansatz, nur sicher ist das nicht, denn > >es ist immer die login-Shell des Users, die es ausführt. Um also mit > >Sicherheit nur scp zuzulassen brauchst du eine entsprechend > >eingeschränkte Shell wie rssh oder scponly. > > > >Grüße, Felix > > hm ... > wenn ich scp mit einem user ohne shell mache geht das nicht ? Jeder User hat eine Shell, d.h. ein in /etc/shells als Shell definiertes Login-Programm. > also ein extrauser der nix darf ausser halt auf den einen ordner > schreiben .. google nach scponly > und dafür dann ein zertifikat erstellen .. > ist das genug paranoia ? *g* Zertifkat? X509? Wo? Keep smiling yanosz
Re: scp question
ja hallo erstmal,... Am Dienstag, 30. August 2005 15:03 schrieb Markus Meyer: > On [Tue, Aug 30 14:38], Florian Schnabel wrote: > Und dann hast du das Paßwort irgendwo im Klartext stehen. > Um genau das zu vermeiden, gibt es ja die "Public Key"-Variante. Wo in diesem Fall der Public-Key im Klartext (also ohne Passphrase) zu sehen ist... Ich verstehe weder die Einwände das OPs gegen die Key-basierte Lösung, noch die von dir aufgezeigten Vorteile der Key Lösung. (Dass sie Vorteile hat ist klar...) Keeo smiling yanosz
Re: scp question
Markus Meyer <[EMAIL PROTECTED]> wrote: > On [Tue, Aug 30 15:15], Jens Schüßler wrote: >>apt-cache show scponly > Vorsicht! Dafür mußt du SSH patchen. Falsch. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: scp question
Felix M. Palmen wrote: Hallo Florian, * Florian Schnabel <[EMAIL PROTECTED]> [20050830 15:00]: hm .. wenn ich das richtig verstanden hab kann ich den SSH-key auf ein kommando einschränken damit darüber keine shell geöffnet werden kann ... worauf muss cihs denn einschränken wenn über scp nur eine datei geschrieben werden soll ?? Nun das mit dem Kommando ist ein Ansatz, nur sicher ist das nicht, denn es ist immer die login-Shell des Users, die es ausführt. Um also mit Sicherheit nur scp zuzulassen brauchst du eine entsprechend eingeschränkte Shell wie rssh oder scponly. Grüße, Felix hm ... wenn ich scp mit einem user ohne shell mache geht das nicht ? also ein extrauser der nix darf ausser halt auf den einen ordner schreiben .. und dafür dann ein zertifikat erstellen .. ist das genug paranoia ? *g* Florian -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: scp question
Hallo Florian, * Florian Schnabel <[EMAIL PROTECTED]> [20050830 15:00]: > hm .. wenn ich das richtig verstanden hab kann ich den SSH-key auf ein > kommando einschränken damit darüber keine shell geöffnet werden kann ... > worauf muss cihs denn einschränken wenn über scp nur eine datei > geschrieben werden soll ?? Nun das mit dem Kommando ist ein Ansatz, nur sicher ist das nicht, denn es ist immer die login-Shell des Users, die es ausführt. Um also mit Sicherheit nur scp zuzulassen brauchst du eine entsprechend eingeschränkte Shell wie rssh oder scponly. Grüße, Felix -- | /"\ ASCII Ribbon | Felix M. Palmen (Zirias)http://zirias.ath.cx/ | | \ / Campaign Against | [EMAIL PROTECTED] encrypted mail welcome | | XHTML In Mail | PGP key: http://zirias.ath.cx/pub.txt | | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 | signature.asc Description: Digital signature
Re: scp question
Hallo, On Tue, Aug 30, 2005 at 03:23:22PM +0200, Markus Meyer wrote: > Vorsicht! Dafür mußt du SSH patchen. Nein, muss er nicht. Gruß, Florian pgpSe1crcX0pK.pgp Description: PGP signature
Re: scp question
On [Tue, Aug 30 15:15], Jens Schüßler wrote: apt-cache show scponly Vorsicht! Dafür mußt du SSH patchen. -- Markus Meyer - encrypted email preferred -> GPG: B87120ED --- Klaus, hör auf, die Antwort matcht nicht auf die Frage. -- Joey pgpunsnInhDXK.pgp Description: PGP signature
Re: scp question
* Florian Schnabel <[EMAIL PROTECTED]> [30-08-05 15:00]: > Markus Meyer wrote: > > >On [Tue, Aug 30 14:09], Florian Schnabel wrote: > > > >Hallo Florian, > > > >wir sprechen auch Deutsch. Immerhine ist das die LOiste > >"debian-user-german". *g* > > > >>i want to copy a backup via cron to another machine every night ... > >>i figured out that can be done with scp, but since that asks for a > >>password (why isn't there an option to specify it !?) i either have > >>to reate a pair of certificates so no password is asked (don#t really > >>want to do that ...) or use expect and a scmall script ... > >>but didn't get the later working > > > > > >Stichwörter: rsync, ssh, public key > > > >Links: > >http://www.linux-magazin.de/Artikel/ausgabe/2004/09/backups/backups.html > >http://www.linux-magazin.de/Artikel/ausgabe/2000/08/SSH/SSH.html > > > >Shalom, > > hm .. wenn ich das richtig verstanden hab kann ich den SSH-key auf ein > kommando einschränken damit darüber keine shell geöffnet werden kann ... > worauf muss cihs denn einschränken wenn über scp nur eine datei > geschrieben werden soll ?? Vielleicht ist das ja was für dich. apt-cache show scponly Description: Restricts the commands available to scp- and sftp-users "scponly" is an alternative 'shell' (of sorts) for system administrators who would like to provide access to remote users to both read and write local files without providing any remote execution priviledges. Functionally, it is best described as a wrapper to the mostly trusted suite of ssh applications. HTH Jens -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: scp question
On [Tue, Aug 30 14:38], Florian Schnabel wrote: Hi Florian, ups .. sorry, das englisch war gewohnheit Das muß weh tun... ;) ich erstelle mit bacula meine backups, da bacula aber bisher kein synchrones schreiben auf unterschiedliche medien (und rechner) unterstützt würde ich das fertige backup gerne auf einen 2. server schieben Also geht es um _eine_ Datei, halte das "gepackte" Backup, die du auf einen anderen Server schieben willst? also hilft mir rsync schon mal wenig ^^ Das geht auch mit einer Datei sehr gut und sicher. scp hat das problem der rückfrage nach einem passwort ... ich weis das sich das über entsprechende keys lösen liese würde das aber an dieser stelle eher ungern verwenden. Nix verstehn. Warum das denn? ich habe ein script mit expect gesehen das einfach die passwortfrage automatisch beantwortet, aber das aht für meinen fall nicht gepasst und das anpassen will nicht so recht funktionieren Und dann hast du das Paßwort irgendwo im Klartext stehen. Um genau das zu vermeiden, gibt es ja die "Public Key"-Variante. Ein verwirrter Markus, -- Markus Meyer - encrypted email preferred -> GPG: B87120ED --- Das Buch der Natur ist mit mathematischen Symbolen geschrieben. -- Galileo Galilei pgpyyYXYqEs4Y.pgp Description: PGP signature
Re: scp question
Markus Meyer wrote: On [Tue, Aug 30 14:09], Florian Schnabel wrote: Hallo Florian, wir sprechen auch Deutsch. Immerhine ist das die LOiste "debian-user-german". *g* i want to copy a backup via cron to another machine every night ... i figured out that can be done with scp, but since that asks for a password (why isn't there an option to specify it !?) i either have to reate a pair of certificates so no password is asked (don#t really want to do that ...) or use expect and a scmall script ... but didn't get the later working Stichwörter: rsync, ssh, public key Links: http://www.linux-magazin.de/Artikel/ausgabe/2004/09/backups/backups.html http://www.linux-magazin.de/Artikel/ausgabe/2000/08/SSH/SSH.html Shalom, hm .. wenn ich das richtig verstanden hab kann ich den SSH-key auf ein kommando einschränken damit darüber keine shell geöffnet werden kann ... worauf muss cihs denn einschränken wenn über scp nur eine datei geschrieben werden soll ?? Florian PS: sorry, bin heute bissl verpeilt ^^ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: scp question
On Tue, Aug 30, 2005 at 02:38:02PM +0200, Florian Schnabel wrote: > > leider helfen mir deine tips nicht viel weiter, da der sachverhalt etwas > komplizierter ist: > > ich erstelle mit bacula meine backups, da bacula aber bisher kein > synchrones schreiben auf unterschiedliche medien (und rechner) > unterstützt würde ich das fertige backup gerne auf einen 2. server schieben > > also hilft mir rsync schon mal wenig ^^ Wieso? Zum Abgleichen von zwei Rechnern ist rsync das Tool der Wahl. Vor allem dann, wenn der Zielrechner eine genaue Kopie der Quelle sein soll. Willst Du in zwei Richtungen Synchronisieren, dann nimm lieber unison. > scp hat das problem der rückfrage nach einem passwort ... ich weis das > sich das über entsprechende keys lösen liese würde das aber an dieser > stelle eher ungern verwenden. Warum? > ich habe ein script mit expect gesehen das einfach die passwortfrage > automatisch beantwortet, aber das aht für meinen fall nicht gepasst und > das anpassen will nicht so recht funktionieren Also bevor ich mir von expect ein Passwort irgendwo eintragen lasse, dass dann wahrscheinlich noch irgendwo im Klartext rum liegt, generiere ich mir lieber einen Key für ssh. > Florian > Gruß, Sven -- +--+ | .''`. Sven Bergner E-Mail: [EMAIL PROTECTED] | | : :' :Diplom-Informatiker(FH)| | `. `'Debian GNU/Linux User - http://www.debian.org/ | | `- Registered Linux-User #65111 | +---www.linuxtaskforce.de--+ -BEGIN GEEK CODE BLOCK- Version: 3.12 GCS/E/IT/L/MU/P/S/SS/TW d-- s+: a C++ UL+++ P+@ L+++ E+ W++ N+@ K? w--- V PS+++ PE Y++ PGP++ t+@ 5-- X+++ R tv++ b++ DI D++ G++ e+++ h--- r+++ y+++ --END GEEK CODE BLOCK-- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: scp question
Markus Meyer wrote: On [Tue, Aug 30 14:09], Florian Schnabel wrote: Hallo Florian, wir sprechen auch Deutsch. Immerhine ist das die LOiste "debian-user-german". *g* i want to copy a backup via cron to another machine every night ... i figured out that can be done with scp, but since that asks for a password (why isn't there an option to specify it !?) i either have to reate a pair of certificates so no password is asked (don#t really want to do that ...) or use expect and a scmall script ... but didn't get the later working Stichwörter: rsync, ssh, public key Links: http://www.linux-magazin.de/Artikel/ausgabe/2004/09/backups/backups.html http://www.linux-magazin.de/Artikel/ausgabe/2000/08/SSH/SSH.html Shalom, ups .. sorry, das englisch war gewohnheit leider helfen mir deine tips nicht viel weiter, da der sachverhalt etwas komplizierter ist: ich erstelle mit bacula meine backups, da bacula aber bisher kein synchrones schreiben auf unterschiedliche medien (und rechner) unterstützt würde ich das fertige backup gerne auf einen 2. server schieben also hilft mir rsync schon mal wenig ^^ scp hat das problem der rückfrage nach einem passwort ... ich weis das sich das über entsprechende keys lösen liese würde das aber an dieser stelle eher ungern verwenden. ich habe ein script mit expect gesehen das einfach die passwortfrage automatisch beantwortet, aber das aht für meinen fall nicht gepasst und das anpassen will nicht so recht funktionieren Florian -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: scp question
On [Tue, Aug 30 14:09], Florian Schnabel wrote: Hallo Florian, wir sprechen auch Deutsch. Immerhine ist das die LOiste "debian-user-german". *g* i want to copy a backup via cron to another machine every night ... i figured out that can be done with scp, but since that asks for a password (why isn't there an option to specify it !?) i either have to reate a pair of certificates so no password is asked (don#t really want to do that ...) or use expect and a scmall script ... but didn't get the later working Stichwörter: rsync, ssh, public key Links: http://www.linux-magazin.de/Artikel/ausgabe/2004/09/backups/backups.html http://www.linux-magazin.de/Artikel/ausgabe/2000/08/SSH/SSH.html Shalom, -- Markus Meyer - encrypted email preferred -> GPG: B87120ED --- Das Tagtägliche erschöpft mich! -- Ludwig van Beethoven pgphJkRI4smjO.pgp Description: PGP signature
