Nowe posty

Autor Wątek: Konto root i crontab backupu  (Przeczytany 951 razy)

Offline utf-8

  • Users
  • Użytkownik
  • **
  • Wiadomości: 56
    • Zobacz profil
Konto root i crontab backupu
« dnia: 2019-11-13, 17:45:42 »
Mam takie pytanie, konfiguruję dość konkretny serwer w chmurze pod HTTP. No i w sumie wprowadzam tylko drobne poprawki do domyślnej konfiguracji ovh.pl. No ale zastanawia mnie, czy jak dodaję do crontab skrypt tworzący backup np bazy danych. To mogę to robić na użytkowniku root czy muszę na jakimś innym np debian?
Na pewno nie chcę robić tego na użytkowniku www-data. Ponieważ miałem ostatnio taki przypadek że po uprawnieniach z poziomu PHP backdoor przeorał wszystkie pliki użytkownika tego użytkownika. Więc od razu czerwona lampka dla backupu na tym samym użytkowniku co działa serwer apache2

Offline 1709

  • Users
  • Guru
  • *****
  • Wiadomości: 2757
  • 1709
    • Zobacz profil
Odp: Konto root i crontab backupu
« Odpowiedź #1 dnia: 2019-11-13, 20:46:30 »
Nie do końca potrafię sobie wyobrazić jak to funkcjonuje.

Jeśli nie jest to z jakiegoś panelu ...
to można z roota.
- Do kopii " całkowitych " taka komenda " cp -r " powinna wystarczyć.
- Do kopii przyrostowych skrypt używający " rsync " powinien wystarczyć.
- Jeśli nie ufasz jakiemuś programowi to nie używaj.

Jeśli ze względów bezpieczeństwa nie używasz root-a,
to tworzysz nowego użytkownika ( bez /home/... )
Ten nowy twór wystarczy ze będzie mógł
 kopiować pliki i foldery z określonego miejsca bez możliwości ich edycji
do określonego miejsca gdzie będzie mógł zapisać.
Musisz poczytać o prawach użytkownika grupach i tworzeniu bez katalogu domowego.

Nie mam na tyle wiedzy / doświadczenia by napisać wybitny poradnik więc polecam poszukać w internecie wpisując
np.  " linux create restricted linux account ".  I zastanowić się tez 2 razy co tam pisze.
Jeden z lepszych poradników jaki na szybko znalazłem https://access.redhat.com/solutions/65822
Ale to nie wszystko, poradnik nie obejmuje jak sprawdzić uprawnienia użytkowników.
Taki przykład chyba widziałem przy tworzeniu użytkownika dla ssh.
Przypomniało mi się coś, zobacz
- https://www.cyberciti.biz/tips/linux-unix-restrict-shell-access-with-rssh.html
- wpisz np. "linux restricted user disable linux shell " dzięki temu badą tam artykuły np. " Restricted Linux Shell Escaping Techniques "
będziesz dzięki temu miał wiedzę na co zwracać uwagę by zabezpieczyć konto.
- wpisz / poczytaj o " linux create user with nologin "
- zobacz https://unix.stackexchange.com/questions/10852/whats-the-difference-between-sbin-nologin-and-bin-false
Ograniczenia mogą spowodować problemy z uruchomieniem komend / skryptu dlatego jeszcze raz sugeruję przetestować na systemie testowym.

Polecam zainstalować na własnym komputerze maszynę wirtualną i tam system testowy i tam przetestować zabezpieczenia.

Gdybys chcial sie pobawic w zabezpieczanie skryptu bash to polecam poczytać o
rbash i opcjach typu --norc --noprofile
https://wiki-dev.bash-hackers.org/scripting/bashbehaviour

Edytowane:
Wspominalem wczesniej ze widzialem kiedys cos ciekawego przy poradniku ssh.
Moze jak wpiszesz np. " linux ssh create restricted user " to znajdziesz wiecej np.
https://www.cyberciti.biz/faq/debian-ubuntu-restricting-ssh-user-session-to-a-directory-chrooted-jail/
https://www.tecmint.com/restrict-ssh-user-to-directory-using-chrooted-jail/
« Ostatnia zmiana: 2019-11-13, 22:13:33 wysłana przez 1709 »
PS: Brak polskiej czcionki, nie jest to brak lenistwa, a jej brak w systemie i brak czasu na reczne poprawki.

Offline utf-8

  • Users
  • Użytkownik
  • **
  • Wiadomości: 56
    • Zobacz profil
Odp: Konto root i crontab backupu
« Odpowiedź #2 dnia: 2019-11-13, 22:51:23 »
Chodziło mi głównie o to czy taki zrzut wielkiej bazy, nie zabiera mocy obliczeniowej. No ale chyba pytanie z d..., ponieważ to proces jednowątkowy a rdzeni kilka...