Aller au contenu

Hyper Backup - Sauvegarde Syno -> Serveur rsync avec chiffrement transfert

sadmin91
 Partager

Messages recommandés

Fenrir Newbie

Fenrir

Posté(e)
Posté(e)
il y a 14 minutes, Amaustan a dit :

Dans ce cas, je ne vois pas en quoi la clé ssh apporte une sécurité supplémentaire si HyperBackup effectue une connexion sécurisée over ssh ?

Tout simplement parce que une authentification par clef est plus sûr qu'une authentification par mot de passe. Après on peut répondre qu'en mettant un super mot de passe (64 caractères aléatoires par exemple) c'est aussi fiable, j'ai 3 réponses à ça, sans même chercher :

  • si tu autorises les connexions par mot de passe, tous les autres comptes de ton serveur sont potentiellement accessible par mot de passe, donc même si ton compte de backup est super blindé, rien ne dit que les autres le seront tout autant
  • se connecter avec une clef c'est techniquement comme utiliser un mot de passe de la taille de la clef, soit 4096 bits en général, nettement plus de caractères que tu ne peux en mettre dans un mot de passe
  • en lassant l'authentification par mot de passe, tu invites les scanner à lancer des attaques par dictionnaire ou brute force (elles ne passeront pas avec un super pass, mais ça va consommer bcp plus de ressources que si seules les connexions avec clef étaient autorisées)

Après tu as tous les aspects confort et ré-utilisabilité, un même compte peut accepter plusieurs clefs, mais un seul mot de passe, ce qui ouvre plein de possibilités.

il y a 26 minutes, Amaustan a dit :

quand j'ai créé un utilisateur rsync sur mon RaspBerry distant et c'est cet utilisateur qui se connecte via ssh à rsync

petite précision sur ce point précis, tu as 2 utilisateurs :

  • un compte rsync
  • un compte linux (utilisé par ssh)

Si tu as mis le même login+pass sur les 2 (c'est mal mais Syno ne laisse pas le choix ... visuellement), tu ne peux pas t'en rendre compte.

0
Amaustan Newbie

Amaustan

Posté(e)
Posté(e) (modifié)

Je veux bien croire ce que tu dis mais si je supprime le user rsync sur le RaspBerry, je ne me connecte plus sur le rsync over ssh... Ne cela voudrait-il pas plutôt dire qu'il n'y a qu'un seul user ssh et rsync ?

Je me fais peut-être des noeuds au cerveau mais j'aimerais comprendre :-)

Modifié par Lucien77
Inutile de citer le post précédent
0
Fenrir Newbie

Fenrir

Posté(e)
Posté(e)

Si tu supprimes le compte DANS rsync (tu vires les lignes "auth users" et "secrets file"), alors rsync ne ferait plus d'authentification (il laissera passer tout le monde), c'est ce qu'a fait @Langer dans son Tuto. On le fait par exemple pour les serveurs rsync publiques (comme les miroirs des distribution linux, sauf qu'ils sont en lecture seule évidemment).

Si tu supprimes le compte du serveur (/etc/passwd), alors tu ne pourras plus utiliser ssh.

Les 2 sont dissociés. Il s'agit bien de 2 comptes qui n'ont aucun lien technique entre eux.

Encore une fois, il y a plein de manière de se servir de rsync :

  1. en local : d'un dossier vers un autre
    • serveur rsync : pas utilisé
    • serveur ssh : pas utilisé
    • chiffrement du transfert : non mais pas très utile en local (au sein de la même machine)
    • authentification : aucune
  2. via un serveur rsync
    • serveur rsync : utilisé
    • serveur ssh : pas utilisé
    • chiffrement du transfert : non, tout passe en clair
    • authentification : éventuellement celle de rsync
  3. via un transfert ssh
    • serveur rsync : utilisé mais lancé par le client au travers du tunnel ssh (pas besoin de le lancer en service)
    • serveur ssh : utilisé
    • chiffrement du transfert : oui par ssh
    • authentification : ssh et éventuellement celle de rsync
  4. via un tunnel ssh
    • serveur rsync : pas utilisé
    • serveur ssh : utilisé
    • chiffrement du transfert : oui par ssh
    • authentification : celle de ssh uniquement
  5. et plein d'autres manière que je ne détaillerais pas ici (trop compliqué à vous expliquer)

HyperBackup propose les 3 premières méthodes. Perso j'utilise plutôt la méthode 4, plus simple ou la 2 mais dans un VPN.

Si tu regardes bien :

  • 3=2+ssh
  • 4=1+ssh

Extrait de man rsync (c'est la méthode 3 dans mes exemples) :

Citation

USING RSYNC-DAEMON FEATURES VIA A REMOTE-SHELL CONNECTION
It is sometimes useful to use various features of an rsync daemon (such as named modules) without actually allowing any new socket connections into a system (other than what is already required to allow remote-shell access).
Rsync supports connecting to a host using a remote shell and then spawning a single-use "daemon" server that expects to read its config file in the home dir of the remote user. This can be useful if you want to encrypt a daemon-style transfer’s data ...

Je trouve ça très clair

0

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.