rsync. Бэкап с правами рута от юзера. [РЕШЕНО / SOLVED]

[Brunen]

Решение:

В общем активировал учётку root(passwd root) и разрешил ей заходить по ssh с одной машины(s1) на другую(s2), путём добавления на s2 строк в /etc/sshd_config:

Код: [Выделить]

PermitRootLogin yes
StrictModes yes
AllowUsers usr-adm root@192.168.0.2Т.е. заходить под рутом можно только с определённого ip и без пароля(настроена безпарольная аутентификация на основе ключей).


Сама тема:

(Нажмите, чтобы показать/скрыть)

Здравствуйте!
Помогите разобраться с ситуацией:

Есть два сервера - основной(s1) и резервный(s2). Выполняют одинаковые роли(samba,postfix+dovecot). Находятся в одной подсети, соединены гигабитным свитчем. Юзер на обоих - usr-adm(в группе admin). Пароль одинаковый. Настроена беспарольная аутентификация по ssh(порт -13131).

Необходимо каждый вечер(20-00) делать копию изменённых данных. Точнее, каталог /var/mail.
В нём находятся 2 директории с разными правами на каждую:

Код: [Выделить]

drwxrwxrwx 37 company-1 company-1 4096 2011-05-11 14:58 company-1
drwxrwxrwx  8 company-2  company-2  4096 2011-05-11 14:50 company-2
Каким образом осуществлять копирование через cron с помощью rsync?
Необходимо иметь точную копию данных на s2 (/var/mail) c сохранением прав и владельцев этих двух директорий.

[podkovyrsty]

http://rsync.samba.org/documentation.html (:

[Brunen]

http://rsync.samba.org/documentation.html (:

Шутку понял. Смешно.

Но по сути нужен пример команды, с заходом по ssh обычным пользователеи и копированием данных из под рута с сохранением прав.
Под рутом я захожу обычно так:

Код: [Выделить]

usr-adm@s1:~$sudo bash
Ввожу пароль учётки usr-adm
#Та-да!

Код: [Выделить]

rsync -a --delete --delete-excluded /var/mail/ usr-adm@192.168.0.2:/var/mail - пишет:
rsync: chgrp "/var/mail/company-1." failed: Operation not permitted (1)
....
Т.к. копирование идёт с ограниченными правами. Каким образом сделать? Разрешить юзать rsync пользователю usr-adm через /etc/sudoers? Как лучше?

[censor]

в кронтабах в /etc/cron.d/ можно указывать от какого пользователя выполнять задачу.

[podkovyrsty]

Самый простой способ для задачи из 1 сообщения - скрипт
монтирует каталог по ssh
find находит список файлов измненных сегодня и скармливает его cp -p
Все это из под рута, если нужно, потом можно сделать частичный chown

[Brunen]

Самый простой способ для задачи из 1 сообщения - скрипт
монтирует каталог по ssh
find находит список файлов измненных сегодня и скармливает его cp -p
Все это из под рута, если нужно, потом можно сделать частичный chown

Уф!!! Может проще через rsync как-то сделать? 
Тем более у него ключ "-a" позволяет сохранять права/владельца копируемых файлов.

[podkovyrsty]

cp -p делает тоже самое
можно и через rsync
только тут я вам 1-у команду не скажу.
там надо потратить время на настрйоку демона.

[BigDogs.Ru]

1) Настраиваете авторизацию рута по ключу на том сервере, с которого будете заливать бэкап (хорошая инструкция «для чайников» тут: http://lib.clodo.ru/linux-security/security-basics/ )
2) На том компьютере, на который будете заливать бэкап, открываете рутовский крон (sudo crontab -e)
3) Собственно команда (возможно, не идеальна по параметрам — но у меня работает и бэкапит с сохранением прав) бэкапа ежедневного в 2 часа ночи:

Код: [Выделить]

00 02 * * * rsync -h --progress --stats -r -tgo -l -p -D --delete-after -e ssh root@IP_servera:/директория/которую/надо/бэкапить/ /директория/в/которую/бэкапим/

Хорошая статья про rsync: http://evgeny.igumnov.com/wiki/148/457_rsync

[Brunen]

1) Настраиваете авторизацию рута по ключу на том сервере, с которого будете заливать бэкап (хорошая инструкция «для чайников» тут: http://lib.clodo.ru/linux-security/security-basics/ )
2) На том компьютере, на который будете заливать бэкап, открываете рутовский крон (sudo crontab -e)
3) Собственно команда (возможно, не идеальна по параметрам — но у меня работает и бэкапит с сохранением прав) бэкапа ежедневного в 2 часа ночи:

Код: [Выделить]

00 02 * * * rsync -h --progress --stats -r -tgo -l -p -D --delete-after -e ssh root@IP_servera:/директория/которую/надо/бэкапить/ /директория/в/которую/бэкапим/


Авторизация по ключам(т.е. без паролей) настроена между этими двумя серверами. Если запустить команду из п.3 - rsync попытается зайти на резервный сервер(s2) по ssh с правами root, а так как доступ к руту напрямую закрыт("PermitRootLogin no" в sshd_config), то и забекапить с сервера s1 на s2 - не получится.
В том-то и вопрос, чтобы зайти рсинком по ссш обычным юзером(имеющий права сделаться рутом) и забекапить информацию уже с правами рута.

Пользователь решил продолжить мысль 11 Мая 2011, 17:14:21:

cp -p делает тоже самое
можно и через rsync
только тут я вам 1-у команду не скажу.
там надо потратить время на настрйоку демона.

Про настройку демона почитал и как понял, в его настройках прописываются директории, куда будут складироваться бэкапы, но там же выставляются и права/владелец на эти "опубликовнанные" директории. Если же у меня в /var/mail - два ящика с разными владельцами - получается, на каждого нужно в rsyncd.conf писать отдельный модуль:

/etc/rsyncd.conf

Код: [Выделить]

[company-1]
 comment = maildb company-1
 path = /var/mail/company-1
 use chroot = true
 uid = company-1
 gid = company-1
 log file = /var/log/rsyncd/backl_company-1.log
 read only = false
 write only = false
 hosts allow = s1 s2
 hosts deny = *
 transfer logging = false

[company-2]
 comment = maildb company-2
 path = /var/mail/company-2
 use chroot = true
 uid = company-2
 gid = company-2
 log file = /var/log/rsyncd/backl_company-2.log
 read only = false
 write only = false
 hosts allow = s1 s2
 hosts deny = *
 transfer logging = false
Так получается?

[Brunen]

В общем активировал учётку root(passwd root) и разрешил ей заходить по ssh с одной машины(s1) на другую(s2), путём добавления строк в /etc/sshd-config:

Код: [Выделить]

PermitRootLogin yes
StrictModes yes
AllowUsers usr-adm root@192.168.0.2
Т.е. заходить под рутом можно только с определённого ip и без пароля, так как под рутом настроил безпарольную аутентификацию на основе ключей.