Права на папки для работы rsync, Meddina, 13-Окт-10, 17:29 [смотреть все]Доброго времени суток! Имею вопрос, так что не знаю как подступиться для его решения:есть в моем ведении 2 сервера: Server и Backup. Необходимо еженощно бекапить rsync'om кучу директорий с Server'a. кынтс работает через ssh. Мне удалось настроить беспарольный вход от имени юзера с ограниченными правами work (входит в группу Wheel, могу от имени work запускать sudo bash и я уже с root-правами) Теперь задача эту кучу директорий забирать по rsync на Backup. Список директорий для бэкапа: /data - сюда по пользователь work имеет доступ чтобы синхронизировать файлы и директории с Backup. На остальные директории он прав не имеет: /etc /usr/etc /usr/local/etc /usr/home /usr/local/www /usr/local/services На Backup запускается команда(скрипт), которая rsync'ом копирует файлы с сервера: что-то вроде rsync -e ssh --progress -lzuogthvr work@site.com:/data /data/site/ Но на системных директориях rsync выпадает с ошибкой "нет такого файла"или "файл не найден". вопрос: как выкрутиться из этой ситуации? Как сделать так чтобы rsync работал в пакетном режиме, не интерактивно? не прописывать же по всем директориям доступ для юзера work? И не заходить по ssh от root - это тоже приемлемо. Надеюсь я доступно изложил мой вопрос, если что не понятно, готов прояснить. спасибо.
|
- Права на папки для работы rsync, apl, 18:13 , 13-Окт-10 (1)
- Права на папки для работы rsync, Nettank, 18:20 , 13-Окт-10 (2)
- Права на папки для работы rsync, PavelR, 20:35 , 13-Окт-10 (4)
- Права на папки для работы rsync, Meddina, 07:10 , 14-Окт-10 (6)
> Не вижу проблемы со входом под рутом по ключу. > PermitRootLogin without-password или как-то так опция зовется, не помню, по памяти пишу.Если я правильно понял, вы говорите о настройках sshd? можно поподробнее? > Смотрю в сторону dirvish-а, как он организован.... > В нем есть то, о чем я размышлял когда-то... В настоящее время > - bontmia, несколько "пропатченная", но pre и post скриптов еще не > изобрел. буду смотреть как сделан дирвиш. да занятная штучка... вот только сомневаюсь подойдет ли она в моем случае... Server находится в Питере, Backup в Новосибирске...
- Права на папки для работы rsync, apl, 07:25 , 14-Окт-10 (8)
- Права на папки для работы rsync, Meddina, 08:44 , 14-Окт-10 (9)
> PermitRootLogin > Specifies whether the root can log in using ssh(1). The > argument must be yes, without-password, forced- > commands-only, or no. without-password means that root > cannot be authenticated using the "password" > or "keyboard-interactive" methods (see description > of KbdInteractiveAuthentication above).вот тут мне не понятно: с одной стороны рутом на удаленный сервер нежелательно предоставлять доступ по ssh (у нас он отключен). С другой - вроде как надо. вопрос: а можно ли обойти этот скользкий момент с помощью sudoers? > Дирвиш умеет бекапить только измененные файлы. Этим оно и отличается от полного > пофайлового бекапа. Если initial бэкап у нас занимал 4 часа, то > второй -- 20-30 минут. если я правильно понимаю, то любая rsync-based утилита будет так работать, если без наворотов. Да и вопрос о правах пользователя группы wheel на системные директории остается повисшим. Пока что-то не представляю как Dirvish решит этот вопрос...
- Права на папки для работы rsync, apl, 09:26 , 14-Окт-10 (10)
- Права на папки для работы rsync, Meddina, 11:58 , 14-Окт-10 (12)
>>[оверквотинг удален] >> вот тут мне не понятно: с одной стороны рутом на удаленный сервер >> нежелательно >> предоставлять доступ по ssh (у нас он отключен). >> С другой - вроде как надо. > Тут можно разрешить ходить рутом только с определенного хоста, и ключ залочить > на определенный хост. ну можно еще firewall-ом зафильтровать.нет. Это не подойдет - разработчики ходят на сервак с кучи айпи адресов, кто-то с динамического пулла... дохлый номер всех отлавливать - ибо всегда будут обделенные :-) >> Да и вопрос о правах пользователя группы wheel на системные директории остается >> повисшим. > Объясни, что ты имеешь ввиду. если ты на удаленный хост заходишь root-ом, > то автоматом и в группе wheel. вот почему спросил: логин на Server (смотри первый пост) по ssh делается от имени work (состоит в группе wheel). следовательно, если заходишь как work надо получить рутовые права. Это можно сделать интерактивно - sudo bash, например. А вот как в пакетном режиме?
- Права на папки для работы rsync, PavelR, 09:43 , 14-Окт-10 (11)
- Права на папки для работы rsync, Meddina, 07:07 , 14-Окт-10 (5)
> А почему нельзя запускать не на Backup, а на Server что-нибудь типа > rsync -e ssh -ztr.... /data user@Backup:/data ? > Тогда вроде бы проблемы такой и не возникнет.Потому что: 1. Идеологически бэкап-задачи выполняются на резервном хосте. Да и продакшн сервер не хотелось бы грузить лишним функционалом. 2. организовано так, что Server - находится на арендуемом сервере у хостера. Backup - в серверной, в офисе. Чтобы заставить Server отправлять бэкапы на Backup, надо будет использовать нестандартные порты для работы rsync, ssh (так как стандартые уже заняты). А лишние действия - они лишние.
|