J'administre deux serveurs :
- un pour des services web qui fonctionne avec proxmox (V3.4)
- un pour un service data de synchronisation de fichiers
Je réalise des backup des mes containers sous proxmox mais pour l'instant ces backups restent sur le serveur web. J'aimerais les copier automatiquement sur le serveur data.
J'avais pensé à un bête scp mais pour ça, soit j'ai besoin d'être là pour entrer le mot de passe de la machine data soit je peux utiliser une clé sans passphrase mais dans ce cas, en cas de compromission de mon serveur web, la clé sans passphrase permettra de compromettre mon serveur data.
rsync pose, je pense, le même problème.
J'ai trouvé le principe des jetons avec File-bucket par exemple mais si j'ai bien compris le transfert se fait en clair et on se retrouve donc aussi avec des problèmes de sécurité.
J'aimerais aussi éviter les usines à gaz.
Bref, comment faites-vous pour réaliser vos transfert WAN de backup de serveur à serveur ?
Merci
Matt
# backup de serveur à serveur ?
Posté par NeoX . Évalué à 3.
si tu crains une compromission du serveur proxmox qui permettrait un acces au serveur data,
fait le backup dans l'autre sens.
c'est le serveur DATA, qui va chercher les backup sur le serveur Proxmox.
[^] # Re: backup de serveur à serveur ?
Posté par matteli . Évalué à 1.
J'y avais pensé mais ça ne résous pas vraiment le problème. En cas de compromission du serveur data, on peut atteindre le serveur web.
[^] # Re: backup de serveur à serveur ?
Posté par NeoX . Évalué à 2.
l'un est chez toi, l'autre est sur internet.
le risque de compromission de la machine data, chez toi, est quand meme plus limité que celui du serveur web exposé à tous publics.
[^] # Re: backup de serveur à serveur ?
Posté par matteli . Évalué à 1.
Non, les deux sont sur internet.
[^] # Re: backup de serveur à serveur ?
Posté par NeoX . Évalué à 2.
alors il te faut combiner les methodes de securité.
1°) blinder les machines (parefeux, antirookit, analyse antiviral)
2°) mettre les clefs sur un utilisateur autre que celui des sites webs
3°) limiter les sessions aux quelques commandes necessaires aux backups
# Connexion SCP
Posté par François GUÉRIN (Mastodon) . Évalué à 1.
Bonjour,
Pour le problème de mot de passe avec SCP, tu peux faire un échange de clés ssh avec la commande suivante :
http://www.ex0dus.fr/tuto-echange-de-cles-ssh-sous-linux/
Ça permet de simplifier les copies via ssh… De plus, un autre truc, c'est rsync pour les sauvegardes incrémentales. Je ne sais pas si c'est adapté à ton cas, mais ça marche très bien et en plus c'est déclenchable à travers un cron.
Bon courage !
[^] # Re: Connexion SCP
Posté par NeoX . Évalué à 3.
sauf que visiblement il ne veut pas d'une clef sans passphrase car
# Franglish
Posté par Kerro . Évalué à 2.
Il est important d'être précis : tu veux une sauvegarde de backup, ou plutôt un backup de sauvegarde ?
Nan parce que ça change tout. C'est un peu comme mon grand-père, qui est le père de mon father. Et non le father de mon père.
# Restriction sur la clé
Posté par lolop (site web personnel) . Évalué à 4.
Tu peux limiter l'utilisation de la clé ssh à une commande.
Et tu peux mettre en place des choses comme rsnapshot, qui permettent d'avoir un historique des versions des fichiers sauvegardés (par exemple en cas d'effacement malencontreux).
Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
[^] # Re: Restriction sur la clé
Posté par matteli . Évalué à 1.
Intéressant, je vais regarder de ce côté.
Merci
[^] # Re: Restriction sur la clé
Posté par Sytoka Modon (site web personnel) . Évalué à 2.
Il est même possible de bloquer la clef sur une IP ou une classe via 'from'…
[^] # Re: Restriction sur la clé
Posté par matteli . Évalué à 1.
D'après ce que j'ai trouvé, rssh semble un bon candidat.
[^] # Re: Restriction sur la clé
Posté par matteli . Évalué à 1.
Tout compte fait rssh n'est pas un bon candidat car si j'ai bien compris il met des restrictions sur la machine source pas sur la machine cible. Donc si la machine source est compromise, on pourra certainement utilisé la clé pour atteindre la machine cible.
Je vais plutôt utilisé la méthode décrite en 3ème réponse dans ce fil
En bref, on peut mettre des restrictions sur les clés autorisées à contacter la machine ciblede cette façon-là par exemple :
no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty,command="scp -v -r -d -t ~/CONTENT" ssh-rsa AAAAMYRSAKEY...
dans le fichier authorized_keys de la machine cible et utiliser sur la machine source la commande suivante :
scp -v -r -i .ssh/id_rsa_key_file path/to/data backup_user@machine_cible:~/backup
en utilisant une clé privée sans passphrase qui ne servira qu'à ça.
[^] # Re: Restriction sur la clé
Posté par NeoX . Évalué à 2.
c'est ce qui t'etait proposé via les restrictions ssh,
tu peux cibler un utilisateur, lui faire executer une seule commande.
et plutot que scp, je choisirais rsync qui est plus tolerant au rupture de connexion et permettra de reprendre le transfert si tu relances le script.
[^] # Re: Restriction sur la clé
Posté par matteli . Évalué à 1.
oui, bien sur mais j'ai passé pas mal de temps pour trouver des exemples dans le cas de scp. Et puis je me suis un peu égaré avec openssh et lsh.
Bref, j'y vois maintenant un peu plus clair et en effet rsync est sans doute plus adapté.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.