Anthracite
Benutzer
- Mitglied seit
- 24. Apr 2021
- Beiträge
- 16
- Punkte für Reaktionen
- 6
- Punkte
- 3
Hmm. Bei mir ist Admin sowohl auf dem Quell- als auch auf dem Zielsystem deaktiviert, und es funktioniert einwandfrei - ohne Änderung des Skriptes übrigens. Habe ich was falsch gemacht ?Prüfen Sie, ob der Standard -admin- Account deaktiviert ist. Dieser muss auf der Quell- und Ziel-DiskStation aktiviert sein.
Auf dem Quellsystem läuft das Skript natürlich trotzdem als root, auch wenn dieser deaktiviert ist, da das Script vom cron gestartet wird.
Das Zielsystem ist ein Qnap, auf dem der Admin aber auch deaktiviert ist.
Die Verbindung erfolgt über einen ssh-Tunnel - aus Sicherheitsgründen, da das Gerät extern steht und der Tunnel über das Internet geht.
Der ssh login geschieht über ssh-Keys.
Der User auf dem Ziel-NAS ist nicht privilegiert (kein Admin, kein Mitglied der Gruppe Administrators).
Der User auf dem Ziel-NAS braucht in sudoers das Recht, rsync ohne Passworteingabe aufzurufen. (Dafür muss ein 'sudo' vor den rsync-Aufruf gequetscht werden, s. u.) Weitere Sonderrechte werden nicht benötigt.
Da es an dieser Stelle, wenn ich mich recht erinnere, nicht möglich war, die Passphrase des privaten ssh-Keys einzugeben, so hat der ssh-Key kein Passwort, und er wird ausschließlich für diese Verbindung benutzt.
Um die Sicherheit weiter zu erhöhen, werden in authorized_keys auf dem Ziel-NAS über ein Skript als Command die Shell-Befehle auf ausschließlich die von Ultimate Backup genutzten Kommandos eingeschränkt. (Das ist durchaus etwas Arbeit.)
In diesem Skript wird bei der Gelegenheit ein "sudo" vor den rsync-Aufruf gesetzt. (Das hätte ansonsten eine manuelle Änderung des von UB erzeugten Skriptes erfordert.)
Alles klar?
Wenn nicht, einfach fragen.