Discussion:
rsync over ssl
(te oud om op te antwoorden)
richard lucassen
2009-03-13 16:47:58 UTC
Permalink
Ik heb dit script. Ik wil kunnen rsyncen over SSL (waarom zit dat er
niet standaard ingebakken?). Dit script werkt. Maar is er een elegantere
manier dan eerst de tunnel op te zetten en die vervolgens te killen met
fuser -k? Iets uitvreten met de -e optie?

##########################################################

#!/bin/sh

/usr/local/bin/tcpserver 127.0.0.1 50873 \
stunnel -c -r example.com:50873 &

rsync -vax rsync://localhost:50873/label/ /dir/to/sync/

fuser -k 50873/tcp

##########################################################

R.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Koos van den Hout
2009-03-13 19:05:32 UTC
Permalink
Post by richard lucassen
Ik heb dit script. Ik wil kunnen rsyncen over SSL (waarom zit dat er
niet standaard ingebakken?).
Euh... uit rsync(1)

"For remote transfers, a modern rsync uses ssh for its communications,"

Koos
--
Koos van den Hout, PGP keyid DSS/1024 0xF0D7C263 via keyservers
***@kzdoos.xs4all.nl or RSA/1024 0xCA845CB5
Weather maps from free sources at
http://idefix.net/~koos/ http://weather.idefix.net/
richard lucassen
2009-03-13 20:14:48 UTC
Permalink
On Fri, 13 Mar 2009 19:05:32 +0000 (UTC)
Post by Koos van den Hout
Euh... uit rsync(1)
"For remote transfers, a modern rsync uses ssh for its
communications,"
Ik wil geen shell daemon daarvoor gebruiken. Dan heb ik een speciale
user nodig die met een keypair werkt waarvan de private key geen
passphrase heeft als er automagisch vanuit cron gersync't wordt. Ik wil
gewoon de data zonder passwd kunnen ophalen, maar dan wel encrypted over
het net.

Maar inmiddels heb ik de zaak opgelost: ik rsync de de betreffende dir
vanuit de centrale server naar de hosts met ssh. Omgekeerd dus. Dan
speelt het probleem niet. En wel zo simpel :)

R.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Fred Mobach
2009-03-13 21:09:37 UTC
Permalink
Post by richard lucassen
On Fri, 13 Mar 2009 19:05:32 +0000 (UTC)
Post by Koos van den Hout
Euh... uit rsync(1)
"For remote transfers, a modern rsync uses ssh for its
communications,"
Ik wil geen shell daemon daarvoor gebruiken. Dan heb ik een speciale
user nodig die met een keypair werkt waarvan de private key geen
passphrase heeft als er automagisch vanuit cron gersync't wordt. Ik
wil gewoon de data zonder passwd kunnen ophalen, maar dan wel
encrypted over het net.
Maar inmiddels heb ik de zaak opgelost: ik rsync de de betreffende dir
vanuit de centrale server naar de hosts met ssh. Omgekeerd dus. Dan
speelt het probleem niet. En wel zo simpel :)
Een beetje theorie :

Men haalt data op vanuit een meer beveiligde omgeving vanaf een minder
vertrouwde omeving. Of, zoals in jouw situatie, jouw meest betrouwbare
server haalt data op van een remote systeem. En laat dat remote systeem
zeker niet data afleveren op jouw beveiligde omgeving.

Hetzelfde geldt voor het verspreiden van data.
--
Fred Mobach - ***@mobach.nl
website : http://fred.mobach.nl
.... In God we trust ....
.. The rest we monitor ..
richard lucassen
2009-03-13 22:24:23 UTC
Permalink
On Fri, 13 Mar 2009 22:09:37 +0100
Post by Fred Mobach
Post by richard lucassen
Maar inmiddels heb ik de zaak opgelost: ik rsync de de betreffende
dir vanuit de centrale server naar de hosts met ssh. Omgekeerd dus.
Dan speelt het probleem niet. En wel zo simpel :)
Men haalt data op vanuit een meer beveiligde omgeving vanaf een minder
vertrouwde omeving. Of, zoals in jouw situatie, jouw meest betrouwbare
server haalt data op van een remote systeem. En laat dat remote
systeem zeker niet data afleveren op jouw beveiligde omgeving.
Hetzelfde geldt voor het verspreiden van data.
Een beetje praktijk in dit geval :)

Het zijn beide beveiligde omgevingen zonder externe toegang of users op
de machine en dus speelt het probleem niet. En je hebt natuurlijk
helemaal gelijk zoals je het schetst hierboven, maar de centrale server
is mijn eigen server en ik wil niet dat remote systemen daar met een
onbeveiligde keypair naartoe kunnen connecten (er kan iemand natuurlijk
een toetsenbord aan hangen). En natuurlijk kun je ssh een aantal
kunstjes laten doen om shell toegang te voorkomen, maar dan nog.

Daarentegen: de rsync server is chrooted en de data mag gezien worden.
Alleen wilde ik het niet unencrypted over het net jassen.

Maar als de centrale dir aangepast wordt, dan doe ik dat zelf. En dan is
het ook een koud kunstje om de remote dirs dan even te rsyncen over ssh.
Met een keypair die (dat?) wel beveiligd is.

Overigens heeft geen van de servers een open service naar het internet.
Ik ben dus misschien wat te paranoia als het mijn eigen server betreft.

It's not a question of being paranoia, but a question og being paranoia
enough ;-)

R.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Ximinez
2009-03-26 20:37:04 UTC
Permalink
Post by richard lucassen
It's not a question of being paranoia, but a question og being paranoia
enough ;-)
Ik maak er even een iets beter Engels van:

It's not a question of being paranoid, but a question of being paranoid
enough ;-)

Paranoia is het zelfstandig naamwoord.

Nog beter is volgens mij:

I know I’m paranoid, but am I paranoid enough?

X.
richard lucassen
2009-03-26 23:47:28 UTC
Permalink
On Thu, 26 Mar 2009 21:37:04 +0100
Post by Ximinez
Post by richard lucassen
It's not a question of being paranoia, but a question og being
paranoia enough ;-)
It's not a question of being paranoid, but a question of being
paranoid enough ;-)
Paranoia is het zelfstandig naamwoord.
ok :)
Post by Ximinez
I know I___m paranoid, but am I paranoid enough?
Dat vat dat paranoid wist ik niet actief, als je het zo zegt inderdaad.
Maar ik ben dan ook nooit verder gekomen dan de middelbare school met
het vak engels :)
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Ximinez
2009-03-29 20:21:50 UTC
Permalink
Post by richard lucassen
On Thu, 26 Mar 2009 21:37:04 +0100
Post by Ximinez
Post by richard lucassen
It's not a question of being paranoia, but a question og being
paranoia enough ;-)
It's not a question of being paranoid, but a question of being
paranoid enough ;-)
Paranoia is het zelfstandig naamwoord.
ok :)
Post by Ximinez
I know I___m paranoid, but am I paranoid enough?
Dat vat dat paranoid wist ik niet actief, als je het zo zegt inderdaad.
Maar ik ben dan ook nooit verder gekomen dan de middelbare school met
het vak engels :)
Ik ook niet, maar het is moeilijk in de IT te zitten en niet vanzelf bij
te leren. In het Nederlands is het overigens niet anders. Paranoia is
het zelfstandig naamwoord, iemand die er aan lijdt paranoia is paranoide
(ben te lui voor het trema).

X.


X.

Loading...