Ich möchte Unison verwenden, um die /home-Verzeichnisse zwischen zwei EL6-Boxen zu synchronisieren.
Die meisten Beschreibungen gehen davon aus, dass Unison als Root ausgeführt wird und als Root zwischen den beiden Boxen per SSH kommunizieren kann. Wir haben jedoch Root-Anmeldungen sowohl in /etc/passwd als auch in /etc/login.block deaktiviert. Die Verbindung per SSH als Root ist in sshd_config deaktiviert.
Gibt es eine gängige und/oder etablierte Methode, etwas wie /home gemeinsam zu synchronisieren, ohne dass eine Root-Anmeldung erforderlich ist?
Ein Gedanke, den ich hatte, ist
- Richten Sie auf beiden Boxen eine uid:gid unison:unison ein.
- Konfigurieren Sie ein SSH-Schlüsselpaar für UID Unison.
- Richten Sie unison/.ssh/authorized_keys so ein, dass nur unison von der Ferne ausgeführt werden kann
- Richten Sie eine ACL für /home ein. Setfacl -R -md:g:unison:rwx,g:unison:rwx /home
- Richten Sie den Cronjob so ein, dass er als UID „Unison“ ausgeführt wird.
aber ich hoffe, dass es einen besseren, allgemein akzeptierten Weg gibt
Danke!
Antwort1
WasNormalerweise mache ichbesteht darin, Rollenkonten zu erstellen.
- Erstellen Sie ein Rollenkonto (eigentlich nur ein weiterer Benutzer, aber wir haben einen reservierten UID-Bereich dafür) - wahrscheinlich das, was Sie mit
unison - Verwendung
~unison/.ssh/authorized/keysmit einem einschränkenden Muster wie `force-command="/usr/local/bin/unison-homesync.sh" - schreiben
/usr/local/bin/unison-homesync.sh - Verwenden Sie sudo für die erforderlichen privilegierten Aktionen
Vorteile:
- Es ist nicht erforderlich, dass root sich anmelden kann
- sudo erleichtert die Verwendung privilegierter Aktionen
- Durch das Schreiben eines Wrapper-Skripts ist es einfach, sich in einer kontrollierten Umgebung zu befinden
Nachteile:
Der Ansatz ist nicht gut skalierbar, wenn er manuell durchgeführt wird. Wenn ein gewisses Konfigurationsmanagement vorhanden ist, ist dies kein Problem.