Script de backup (connexion ssh + stockage) [Résolu]

Scalp4 · 28/09/2011, 15h07

Bonjour,

J'ai quelques questions concernant un script de backup que je suis en train de mettre en place. Le principe est que CRON l'appel de façon régulière et qu'il backup plusieurs serveurs distants sur lui-même.

1/ Comment puis-je me connecter en SSH via un script sur un serveur distant de façon sécurisée et automatique ? J'ai créé une clé SSH DSA, mais la seule solution pour que mon script puisse exécuter des commandes du type "ssh user@host ls" est de ne pas mettre de passphrase, ce qui est pas mal, mais pas le plus sécurisé... J'ai vu l'option du ssh-agent, mais d'après ce que j'ai compris, il faudra retaper la passphrase de toute façon. Est-ce qu'il existe une autre méthode ?

2/ Au niveau de l'architecture Linux (Debian) quels sont les "meilleurs" endroits pour stocker le script, les backups et les logs ?
J'ai pensé à créer un utilisateur spécial (vu qu'il y a une clé SSH, ça sera plus pratique je pense) et y stocker le script et les backups et mettre les logs dans "/var/log/". Mais n'étant pas un expert, je me demande s'il existe une autre façon plus "logique" ?

Merci d'avance pour vos réponses.

frp31 · 28/09/2011, 15h30

Citation:

Envoyé par Scalp4

Bonjour,

J'ai quelques questions concernant un script de backup que je suis en train de mettre en place. Le principe est que CRON l'appel de façon régulière et qu'il backup plusieurs serveurs distants sur lui-même.

1/ Comment puis-je me connecter en SSH via un script sur un serveur distant de façon sécurisée et automatique ? J'ai créé une clé SSH DSA, mais la seule solution pour que mon script puisse exécuter des commandes du type "ssh user@host ls" est de ne pas mettre de passphrase, ce qui est pas mal, mais pas le plus sécurisé... J'ai vu l'option du ssh-agent, mais d'après ce que j'ai compris, il faudra retaper la passphrase de toute façon. Est-ce qu'il existe une autre méthode ?

oui bien sur l'échange de clef est là pour ça.

Citation:

2/ Au niveau de l'architecture Linux (Debian) quels sont les "meilleurs" endroits pour stocker le script, les backups et les logs ?
J'ai pensé à créer un utilisateur spécial (vu qu'il y a une clé SSH, ça sera plus pratique je pense) et y stocker le script et les backups et mettre les logs dans "/var/log/". Mais n'étant pas un expert, je me demande s'il existe une autre façon plus "logique" ?

Merci d'avance pour vos réponses.

personnelement les scripts d'administrations je les mets dans /root/bin
mais bon c'est plus une habitude qu'autre chose.

utiliser un utilisateur "operateur" qui soit membre du groupe root permet effectivement de limiter les pouvoirs "root " des scripts.

ça n'a pas de nécéssité, mais c'est vrai que c'est une bonne habitude à prendre.

Scalp4 · 28/09/2011, 16h01

Qu'est ce que tu entends par échange de clé ? Je ne comprends pas, ce n'est pas un échange de clés que j'ai mis en place justement ?

frp31 · 29/09/2011, 08h42

si tu utilises une paraphrase non.

Scalp4 · 29/09/2011, 10h48

Mais dans ce cas c'est moins "secure" non ? Enfin, si par hasard quelqu'un met la main sur le dossier ".ssh" et qu'il n'y a pas de passphrase il pourra se connecter sur tous les serveurs ?

Après, il suffit que le serveur qui contient ce dossier soit sécurisé et il n'y aura pas de problème...

frp31 · 30/09/2011, 09h00

non c'est pas moins secure du tout puisque seuls les deux machines autorisées à l'échange de données ont les clefs l'une de l'autre...
sans compter le reste de l'aspec sécurité autour

Scalp4 · 30/09/2011, 10h49

Merci de ta réponse, bonne journée ! (je tag en résolu)

28/09/2011, 15h07	#1
Scalp4 Nouveau Membre du Club Étudiant Inscription : janvier 2007 Messages : 106 Détails du profil Informations personnelles : Âge : 27 Informations professionnelles : Activité : Étudiant Informations forums : Inscription : janvier 2007 Messages : 106 Points : 30 Points : 30	Script de backup (connexion ssh + stockage) Bonjour, J'ai quelques questions concernant un script de backup que je suis en train de mettre en place. Le principe est que CRON l'appel de façon régulière et qu'il backup plusieurs serveurs distants sur lui-même. 1/ Comment puis-je me connecter en SSH via un script sur un serveur distant de façon sécurisée et automatique ? J'ai créé une clé SSH DSA, mais la seule solution pour que mon script puisse exécuter des commandes du type "ssh user@host ls" est de ne pas mettre de passphrase, ce qui est pas mal, mais pas le plus sécurisé... J'ai vu l'option du ssh-agent, mais d'après ce que j'ai compris, il faudra retaper la passphrase de toute façon. Est-ce qu'il existe une autre méthode ? 2/ Au niveau de l'architecture Linux (Debian) quels sont les "meilleurs" endroits pour stocker le script, les backups et les logs ? J'ai pensé à créer un utilisateur spécial (vu qu'il y a une clé SSH, ça sera plus pratique je pense) et y stocker le script et les backups et mettre les logs dans "/var/log/". Mais n'étant pas un expert, je me demande s'il existe une autre façon plus "logique" ? Merci d'avance pour vos réponses.
	10

29/09/2011, 08h42	#4
frp31 Expert Confirmé Sénior francois Ingénieur systèmes et réseaux Inscription : juillet 2006 Messages : 3 538 Détails du profil Informations personnelles : Nom : francois Âge : 35 Localisation : France, Haute Garonne (Midi Pyrénées) Informations professionnelles : Activité : Ingénieur systèmes et réseaux Secteur : Aéronautique - Marine - Espace - Armement Informations forums : Inscription : juillet 2006 Messages : 3 538 Points : 7 754 Points : 7 754	si tu utilises une paraphrase non. __________________ Communauté OpenBSD francophone Communauté de collectionneur d'ordinateurs antiques
	00

30/09/2011, 09h00	#6
frp31 Expert Confirmé Sénior francois Ingénieur systèmes et réseaux Inscription : juillet 2006 Messages : 3 538 Détails du profil Informations personnelles : Nom : francois Âge : 35 Localisation : France, Haute Garonne (Midi Pyrénées) Informations professionnelles : Activité : Ingénieur systèmes et réseaux Secteur : Aéronautique - Marine - Espace - Armement Informations forums : Inscription : juillet 2006 Messages : 3 538 Points : 7 754 Points : 7 754	non c'est pas moins secure du tout puisque seuls les deux machines autorisées à l'échange de données ont les clefs l'une de l'autre... sans compter le reste de l'aspec sécurité autour __________________ Communauté OpenBSD francophone Communauté de collectionneur d'ordinateurs antiques
	00

28/09/2011, 16h01	#3
Scalp4 Nouveau Membre du Club Étudiant Inscription : janvier 2007 Messages : 106 Détails du profil Informations personnelles : Âge : 27 Informations professionnelles : Activité : Étudiant Informations forums : Inscription : janvier 2007 Messages : 106 Points : 30 Points : 30	Qu'est ce que tu entends par échange de clé ? Je ne comprends pas, ce n'est pas un échange de clés que j'ai mis en place justement ?
	01

29/09/2011, 10h48	#5
Scalp4 Nouveau Membre du Club Étudiant Inscription : janvier 2007 Messages : 106 Détails du profil Informations personnelles : Âge : 27 Informations professionnelles : Activité : Étudiant Informations forums : Inscription : janvier 2007 Messages : 106 Points : 30 Points : 30	Mais dans ce cas c'est moins "secure" non ? Enfin, si par hasard quelqu'un met la main sur le dossier ".ssh" et qu'il n'y a pas de passphrase il pourra se connecter sur tous les serveurs ? Après, il suffit que le serveur qui contient ce dossier soit sécurisé et il n'y aura pas de problème...
	10

30/09/2011, 10h49	#7
Scalp4 Nouveau Membre du Club Étudiant Inscription : janvier 2007 Messages : 106 Détails du profil Informations personnelles : Âge : 27 Informations professionnelles : Activité : Étudiant Informations forums : Inscription : janvier 2007 Messages : 106 Points : 30 Points : 30	Merci de ta réponse, bonne journée ! (je tag en résolu)
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email