Restriction de commande Rsync par SSH

2010-12-29 18:36

Vous disposez de deux systèmes et vous voulez mettre en place une sauvegarde sécurisée par rsync + SSH d’un système sur l’autre.

De manière très simple, vous pouvez utiliser la commande :

backup.example.com# rsync -avz --numeric-ids --delete root@myserver.example.com:/path/ /backup/myserver/

Pour faire la sauvegarde, vous devez être root sur le serveur, car certains fichiers ne sont lisibles que par root.

Problème : vous allez autoriser backup.example.com à faire n’importe quoi sur myserver.example.com, alors qu’un simple accès en lecture seule sur un dossier suffit.

Pour résoudre ce problème, il suffit d’utiliser la directive command="" dans le fichier authorized_keys pour filtrer la commande lancée.

Pour trouver cette commande, on lance rsync en ajoutant l’option -e'ssh -v' :

rsync -avz -e'ssh -v' --numeric-ids --delete root@myserver.example.com:/path/ /backup/myserver/ 2>&1 | grep "Sending command"

On obtient un résultat du genre :

debug1: Sending command: rsync --server --sender -vlogDtprze.iLsf --numeric-ids . /path/

Maintenant, il suffit d’ajouter la commande avant la clé dans le fichier /root/.ssh/authorized_keys :

command="rsync --server --sender -vlogDtprze.iLsf --numeric-ids . /path/" ssh-rsa AAAAB3NzaC1in2EAAAABIwAAABio......

Et pour encore plus de sécurité, on pourra ajouter un filtre par IP, et autres options :

from="backup.example.com",command="rsync --server --sender -vlogDtprze.iLsf --numeric-ids . /path/",no-agent-forwarding,no-port-forwarding,no-pty,no-user-rc,no-X11-forwarding ssh-rsa AAAAB3NzaC1in2EAAAABIwAAABio......

Maintenant, vous pouvez essayer d’ouvrir un shell ssh, ou de lancer d’autres commandes rsync non autorisées…

Notes :

  • Attention, si vous changez les options de la commande rsync, à ne pas oublier de modifier aussi le fichier authorized_keys.
  • Plus besoin de chroot compliqué, vous pouvez oublier mon précédent article : SFTP-chroot-rsync

Voir aussi :

  • man ssh #/AUTHORIZED_KEYS FILE FORMAT
  • man rsync
  • view /usr/share/doc/rsync/scripts/rrsync.gz (restricted rsync, vous permet de gérer précisément les options autorisées)
2010-12-29 18:36 · Tags: , ,

Bug Brasero sous Ubuntu Lucid pour la copie de CD audio

2010-05-20 23:53

La copie de CD audio n’est actuellement pas possible sous Ubuntu Lucid avec Brasero en raison d’un vilain bug.

Pour le contourner il faut installer cdrdao version 1.2.3, qui n’est pas encore sous forme de paquet.

Pour l’installer, on peut utiliser CheckInstall, pour faire un peu plus propre qu’un vieux make install :

tar -xjvf cdrdao-1.2.3.tar.bz2
cd cdrdao-1.2.3/
./configure
make
sudo checkinstall make install

Note : la commande make échouera peut-être à cause d’un paquet de développement manquant qu’il vous faudra installer.

CheckInstall vous crée et vous installe un beau paquet Debian.

On peut aussi utiliser cdrdao directement. Un ps axf nous donne la commande utilisée par Brasero :

cdrdao read-cd --device /dev/sr0 --read-raw --datafile /home/dooblem/brasero.toc.bin -v 2 /home/dooblem/brasero.toc

Et voila le travail !

Liens :

2010-05-20 23:53 · Tags: , , , , , , ,

Archivage/sauvegarde de CD audio

2010-05-20 23:34

Il n’est pas possible d’archiver un CD audio sous la forme d’une image iso. Ce format est réservé aux CDs de données.

En ligne de commande, il faut utiliser cdrdao.

Exemple :

cdrdao read-cd --read-raw --datafile FILE_NAME.bin --device /dev/cdrom --driver generic-mmc-raw FILE_NAME.toc

Sous Ubuntu, on peut aussi utiliser Brasero avec le mode “copie de CD”. Un ps axf nous donne la commande utilisée par Brasero :

cdrdao read-cd --device /dev/sr0 --read-raw --datafile /home/dooblem/brasero.toc.bin -v 2 /home/dooblem/brasero.toc

Note : il y a un bug dans Brasero sous Ubuntu Lucid avec cdrdao.

Liens :

2010-05-20 23:34 · Tags: , , , ,

Sauvegarde intelligente avec rsync

2008-07-29 14:43

rsync est un outil très puissant de copie/transfer/sauvegarde de fichiers sous Unices.

Pour effectuer une sauvegarde triviale, on peut l’utiliser de la manière suivante :

rsync -av MES_DONNEES DOSSIER_SAUVEGARDE

Plutôt que de refaire une copie intégrale de mes données dans le dossier de sauvegarde à chaque sauvegarde, il est plus intelligent d’utiliser rsync combiné avec le système de fichiers ext3 pour faire des sauvegardes incrémentales.

cp -al DOSSIER_SAUVEGARDE_HIER DOSSIER_SAUVEGARDE
rsync -av MES_DONNEES DOSSIER_SAUVEGARDE

Le cp -al recopie le dossier en créant des nouveau répertoire, mais en faisant des liens en dur vers les fichiers. En faisant un rsync par dessus, seuls les fichiers modifiés sont copiés. Ainsi, on utilise de l’espace disque en plus seulement pour les nouveaux fichiers. Le plus fort, c’est qu’on peut accéder à chaque dossier de sauvegarde de manière très rapide car ils sont tous identiques aux originaux. Un mini système de gestion de versions très simple à mettre en place.

Mais le plus fort c’est que rsync peut tout faire à notre place :

rsync -av --link-dest=DOSSIER_SAUVEGARDE_HIER MES_DONNEES DOSSIER_SAUVEGARDE
2008-07-29 14:43 · Tags: ,