Làm cách nào tôi có thể thực hiện truyền tệp tự động an toàn giữa hai máy chủ?

Tôi muốn chuyển một số tệp từ máy chủ A sang máy chủ B hàng ngày (với mục đích sao lưu). Tuy nhiên, tôi không thể tìm ra cách nào không tạo ra lỗ hổng bảo mật. Mục tiêu của tôi là ai đó có quyền sudo trên máy chủ A không thể khai thác quá trình chuyển này để kết nối với máy chủ B.

Ý tưởng cơ bản của tôi là thực hiện một cronjob với một scp (hoặc tương tự) trong đó. Rõ ràng, việc sử dụng kết nối SSH dựa trên mật khẩu giữa A và B không hoạt động và sử dụng kết nối SSH dựa trên khóa, theo như tôi biết sẽ cho phép người dùng máy chủ A kết nối trực tiếp với B qua A.

Tôi không phải là chuyên gia bảo mật, tôi có thể thiếu điều hiển nhiên ở đây. Có cách nào để đạt được những gì tôi muốn?

Tôi cũng không muốn người dùng của máy chủ B có thể kết nối với máy chủ A.

Sử dụng rsync trong một cronjob, như thường lệ.

Trên ứng dụng khách rsync, người dùng có đặc quyền "sudo" sẽ có thể thấy tên người dùng và mật khẩu cần thiết để truy cập các thư mục cụ thể được chia sẻ bởi máy chủ rsync.

Nhưng các chứng chỉ này tách biệt với thông tin đăng nhập của người dùng và sẽ không cấp quyền truy cập SSH vào máy chủ. Vì vậy, nếu mọi thứ được định cấu hình chính xác, tất cả những gì họ có quyền truy cập trên máy chủ là các bản sao lưu từ máy của chính họ.

Trên máy chủ rsync, không có gì có thể cấp quyền truy cập vào máy khách rsync.

Chỉ cần gửi tập tin đến serverA thay vì có người dùng trên serverA sao chép nó từ serverB. Nếu bạn muốn sao chép foo.txt từ máy chủB đến máy chủA, bạn có thể thực hiện theo hai cách cơ bản:

1. Chạy một lệnh trên máy chủA để mang tập tin từ máy chủB.
2. Chạy một lệnh trên máy chủB để gửi tập tin đến máy chủA.

Trong trường hợp thứ hai, không ai trên máy chủA cần truy cập vào máy chủB. Vì vậy, hãy thiết lập ssh dựa trên khóa từ serverB đến serverA, sau đó thêm dòng cron của bạn vào người dùng có liên quan trên máy chủB.

Ví dụ: để thực hiện việc này theo cách thủ công, bạn sẽ thực hiện:

user1@serverB $ scp /path/to/foo.txt user1@serverA:/path/to/foo.txt

Con đường này, không có ai trên máy chủA được bất kỳ quyền truy cập vào máy chủB và bạn chỉ cần có một người dùng trên máy chủB ai có thể đăng nhập vào máy chủA.

Một cách phổ biến để làm điều này là sử dụng sftp và chroot.

Trên máy chủ B, bạn sẽ định cấu hình ssh để chroot người dùng từ máy chủ A và hạn chế đối với sftp. ví dụ. thêm vào /etc/ssh/sshd_config

Hệ thống con sftp /usr/lib/openssh/sftp-server

Sao lưu nhóm phù hợp
    ChrootDirectory /backups/%u
    AuthorizedKeysFile %h/.ssh/authorized_keys
    ForceCommand nội bộ-sftp
    AllowTcpForwarding không

Sau đó, bạn tạo người dùng cho máy chủ A trên máy chủ B, ví dụ: người dùngA, với một thư mục /sao lưu/người dùngA (thuộc sở hữu của root). Sau đó, bạn sẽ cần một sao lưu nhóm mà người dùngA được thêm vào. Quy tắc trong cấu hình ssh được áp dụng cho người dùng trong nhóm này và quy tắc này hạn chế người dùng từ A chỉ được cung cấp dữ liệu mà họ đưa vào 'dropbox' sftp này và không cho phép họ ssh.

Đối với các bản sao lưu, tôi khuyên bạn nên sử dụng phương pháp này, kết hợp với một công cụ như duply để thực sự quản lý các bản sao lưu, để các bản sao lưu có thể được mã hóa, gia tăng, dễ dàng khôi phục, v.v.

ssh và rsync (và SFTP) sẽ luôn cung cấp cho bạn thông tin đăng nhập trên máy chủ mà bạn đang kết nối mà bạn có thể hoặc không thể kiểm soát.

Tại sao không sử dụng HTTPS?

bạn có thể

1. chạy một máy chủ trên A và có B ĐƯỢC dữ liệu
2. hoặc chạy nó trên B và có A BƯU KIỆN nó.

Để bảo vệ dữ liệu khỏi các bên thứ ba không liên quan, bạn sẽ phải mã hóa kết nối (sử dụng HTTPS, không phải HTTP thuần túy) và sử dụng ít nhất xác thực cơ bản.

Điều này sẽ không bảo vệ dữ liệu khỏi người dùng root trên một trong hai hệ thống: cả hai đều có thể đọc dữ liệu và biến đổi nó ở phía tương ứng của họ và bạn thực sự không thể làm gì về điều đó.

Một máy chủ HTTP đơn giản có thể được bắt đầu theo một số cách, ví dụ:

python -m SimpleHTTPServer 8080

Mã hóa kết nối yêu cầu tạo chứng chỉ SSL và một vài dòng mã Python:

#!/usr/bin/trăn
nhập BaseHTTPServer, SimpleHTTPServer
nhập khẩu ssl

httpd = BaseHTTPServer.HTTPServer(('0.0.0.0', 8443), SimpleHTTPServer.SimpleHTTPRequestHandler)
httpd.socket = ssl.wrap_socket(httpd.socket, certfile='./certs_and_key.pem', server_side=True)
httpd.serve_forever()

Xác thực cơ bản yêu cầu thêm một chút mã, nhưng điều đó cũng có thể được làm.

Có một vấn đề với các giả định đằng sau câu hỏi của bạn. SSH được thiết kế để cấp quyền truy cập vào một hệ thống, tuy nhiên bạn muốn sử dụng SSH và không cấp quyền truy cập vào hệ thống. Có lẽ SSH không phải là công cụ phù hợp cho những yêu cầu này?

lựa chọn 1

Quá trình truyền tệp xảy ra với các trang web mọi lúc mà người tải lên không có quyền truy cập vào hệ thống cơ bản. Tạo hoặc tìm một ứng dụng web đơn giản có thể nhận tệp tải lên và ghi tệp đó vào thư mục mong muốn. Yêu cầu bí mật ứng dụng hoặc mật khẩu nếu cần. Bất kỳ người dùng root nào trên Hệ thống A đều có thể xem tệp lưu trữ bí mật của ứng dụng, vì vậy họ có thể tải tệp lên theo cách tương tự. Nhưng miễn là ứng dụng web nhận tải lên không cấp quyền truy cập đọc dưới bất kỳ hình thức nào, thì yêu cầu ngăn người dùng root khỏi Hệ thống B được đáp ứng.

Lựa chọn 2

Bạn vẫn có thể sử dụng SSH để gửi tệp. Chỉ cần giới hạn quyền. Đối với người dùng Hệ thống B được sử dụng để truyền SCP, chỉ cấp quyền ghi vào một thư mục cụ thể và không có quyền đọc trên Hệ thống B. Bạn có thể gửi các lệnh truyền tệp từ Hệ thống A để ghi vào thư mục đó, bạn sẽ không bao giờ đọc được chúng.Một lần nữa, người dùng root trên Hệ thống A sẽ có khả năng truy cập các khóa SSH và tải các tệp của riêng họ lên cùng một nơi, nhưng nếu người dùng Hệ thống B không có quyền đọc trên hệ thống tệp, thì những gì họ có thể làm sẽ bị hạn chế. Kỹ thuật này có thể nói dễ hơn làm. Người dùng root của Hệ thống A vẫn có thể lấy shell trên Hệ thống B, vì vậy trừ khi bạn giới hạn quyền trên toàn bộ hệ thống, bao gồm các lệnh thực thi của hệ thống, người dùng vẫn có thể chạy một loạt lệnh mà không cần đọc tệp dữ liệu. Vì vậy, nó phụ thuộc vào ý nghĩa của bạn khi ai đó có quyền truy cập vào hệ thống. Một lần nữa, không sử dụng SSH có lẽ là giải pháp tốt hơn ở đây.

trong khi không ssh, bạn có thể thấy rằng đồng bộ hóa được quan tâm:

• phải mất bảo mật nghiêm túc
• nó là mã nguồn mở
• có tuyệt vời tài liệu
• hỗ trợ đường hầm SSH
• hỗ trợ nhiều nền tảng

Nó cũng có sẵn thông qua đúng cách, cùng với các gói liên quan:

$ tìm kiếm apt -q đồng bộ hóa
Sắp xếp...
Tìm kiếm toàn văn...
golang-github-syncthing-notify-dev/focal,focal 0.0~git20180806.b76b458-1 tất cả
  Thư viện thông báo sự kiện hệ thống tệp trên steroid

golang-github-syncthing-syncthing-dev/focal,focal 1.1.4~ds1-4ubuntu1 tất cả
  đồng bộ hóa tệp phi tập trung - gói dev

đồng bộ hóa/tiêu điểm 1.1.4~ds1-4ubuntu1 AMD64
  đồng bộ hóa tập tin phi tập trung

syncthing-discosrv/focal 1.1.4~ds1-4ubuntu1 AMD64
  đồng bộ hóa tệp phi tập trung - máy chủ khám phá

syncthing-gtk/focal,focal 0.9.4.4-1 tất cả
  GUI dựa trên GTK3 và biểu tượng khu vực thông báo để đồng bộ hóa

syncthing-relaysrv/focal 1.1.4~ds1-4ubuntu1 AMD64
  đồng bộ hóa tệp phi tập trung - máy chủ chuyển tiếp

Đối với SSH, tùy thuộc vào tần suất của khoảng thời gian và do đó, yếu tố gây phiền toái, bạn có thể triển khai xác thực kép qua chiều, điều đó có nghĩa là cần phải phê duyệt các kết nối.