Discussion :

[Scalp4]

Bonjour,

J'ai quelques questions concernant un script de backup que je suis en train de mettre en place. Le principe est que CRON l'appel de façon régulière et qu'il backup plusieurs serveurs distants sur lui-même.

1/ Comment puis-je me connecter en SSH via un script sur un serveur distant de façon sécurisée et automatique ? J'ai créé une clé SSH DSA, mais la seule solution pour que mon script puisse exécuter des commandes du type "ssh user@host ls" est de ne pas mettre de passphrase, ce qui est pas mal, mais pas le plus sécurisé... J'ai vu l'option du ssh-agent, mais d'après ce que j'ai compris, il faudra retaper la passphrase de toute façon. Est-ce qu'il existe une autre méthode ?

2/ Au niveau de l'architecture Linux (Debian) quels sont les "meilleurs" endroits pour stocker le script, les backups et les logs ?
J'ai pensé à créer un utilisateur spécial (vu qu'il y a une clé SSH, ça sera plus pratique je pense) et y stocker le script et les backups et mettre les logs dans "/var/log/". Mais n'étant pas un expert, je me demande s'il existe une autre façon plus "logique" ?

Merci d'avance pour vos réponses.

[frp31]

Bonjour,

J'ai quelques questions concernant un script de backup que je suis en train de mettre en place. Le principe est que CRON l'appel de façon régulière et qu'il backup plusieurs serveurs distants sur lui-même.

1/ Comment puis-je me connecter en SSH via un script sur un serveur distant de façon sécurisée et automatique ? J'ai créé une clé SSH DSA, mais la seule solution pour que mon script puisse exécuter des commandes du type "ssh user@host ls" est de ne pas mettre de passphrase, ce qui est pas mal, mais pas le plus sécurisé... J'ai vu l'option du ssh-agent, mais d'après ce que j'ai compris, il faudra retaper la passphrase de toute façon. Est-ce qu'il existe une autre méthode ?

oui bien sur l'échange de clef est là pour ça.

2/ Au niveau de l'architecture Linux (Debian) quels sont les "meilleurs" endroits pour stocker le script, les backups et les logs ?
J'ai pensé à créer un utilisateur spécial (vu qu'il y a une clé SSH, ça sera plus pratique je pense) et y stocker le script et les backups et mettre les logs dans "/var/log/". Mais n'étant pas un expert, je me demande s'il existe une autre façon plus "logique" ?

Merci d'avance pour vos réponses.

personnelement les scripts d'administrations je les mets dans /root/bin
mais bon c'est plus une habitude qu'autre chose.

utiliser un utilisateur "operateur" qui soit membre du groupe root permet effectivement de limiter les pouvoirs "root " des scripts.

ça n'a pas de nécéssité, mais c'est vrai que c'est une bonne habitude à prendre.

[Scalp4]

Qu'est ce que tu entends par échange de clé ? Je ne comprends pas, ce n'est pas un échange de clés que j'ai mis en place justement ?

[frp31]

si tu utilises une paraphrase non.

[Scalp4]

Mais dans ce cas c'est moins "secure" non ? Enfin, si par hasard quelqu'un met la main sur le dossier ".ssh" et qu'il n'y a pas de passphrase il pourra se connecter sur tous les serveurs ?

Après, il suffit que le serveur qui contient ce dossier soit sécurisé et il n'y aura pas de problème...

[frp31]

non c'est pas moins secure du tout puisque seuls les deux machines autorisées à l'échange de données ont les clefs l'une de l'autre...
sans compter le reste de l'aspec sécurité autour

[Scalp4]

Merci de ta réponse, bonne journée ! (je tag en résolu)