Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 31/08/2010, à 18:15

AsTeR

Fournir une clé RSA à www-data pour l'utilisation du protocole SSH

Bonjour,

Version courte :
J'aimerais exécuter un rsync depuis mon application web pour synchroniser des fichiers avec un serveur distant. J'ai donc besoin de mettre en place un login par clé sur le serveur distant (vu que j'aurais du mal à taper un mot de passe) (voir http://linuxproblem.org/art_9.html).

Version longue (avec un contexte et tout ça) :
Mon idée de base est de développer un composant PHP capable de synchroniser des contenus entre la machine d'exécution et une machine de réplication (je ne souhaite pas utiliser cron couplé à rsync, ou faire un script dans un autre langage pour conserver un maximum de traitements en PHP).

A ma connaissance, la solution nécessitant le moins de configuration serveur est celle de l'appel d'une commande rsync depuis mon script, mais il me faut impérativement utiliser les authorized_keys et ssh-keygen mais je bloque sur ce point : www-data n'ayant pas de répertoire home.

Merci d'avance

Hors ligne

#2 Le 31/08/2010, à 18:20

sputnick

Re : Fournir une clé RSA à www-data pour l'utilisation du protocole SSH

FBI : fausse bonne idée !

Utilise un daemon rsync sur le serveur destinataire et un client rsync pour y pusher des datas.

Ceci n'utilise *pas* de passphrase ( qui serais vide si tu faisait comme ça ) et c'est donc la méthode recommandée, comprendre plus secure.

Un appel à un daemon rsync se fait de la façon suivante :

rsync -avP /path/to/stuff domain.tld::daemonNom

C'est pas la doc qui manque sur les mots clefs rsync daemon


On ne peut pas mettre d'array dans un string!
https://sputnick.fr/

Hors ligne

#3 Le 31/08/2010, à 18:32

AsTeR

Re : Fournir une clé RSA à www-data pour l'utilisation du protocole SSH

Merci pour ta réponse... Je vois bien l'inconvénient de l'absence de passphrase, je sais que c'est relativement peu sécurisé, mais ce n'est pas ma préoccupation principale. Tu as une idée sur comment faire les choses (même au mépris du bon sens) ?

Le problème que je vois également sur le rsync daemon c'est que rsync prend un temps pour analyser chaque fichier, et il est possible que j'en ai une quantité importante et j'ai peur que cela consomme beaucoup de ressources avec la montée en charge... Idéalement je transfèrerais les fichiers un par un, sans recontrôler le reste.

Hors ligne

#4 Le 31/08/2010, à 19:07

sputnick

Re : Fournir une clé RSA à www-data pour l'utilisation du protocole SSH

La montée en charge aura lieu si tu ne limite pas la bande passante --bwlimit=KBPS mais c'est tout. Que tu utilise un daemon ou pas, ça changera pas si sensiblement la charge ; c'est une mesure de sécurité. Cette solution est en prod sur des sites très fréquentés sans aucun souci. Refuser des éléments de sécurité, c’est alimenter la dette technique. Aujourd'hui ça pose peut-re pas de problème, puis viens des évolutions voir des crack/défaçage de site, et là on se rend compte que l'attaquant a accès à d'autres serveurs  : pas glop.
Monter un daemon est très simple !
Je ne vais pas t'aider à faire du caca, si tu souhaite en faire, google is your friend. smile


On ne peut pas mettre d'array dans un string!
https://sputnick.fr/

Hors ligne

#5 Le 31/08/2010, à 21:40

AsTeR

Re : Fournir une clé RSA à www-data pour l'utilisation du protocole SSH

Bon argumentaire wink

Je note cependant ta remarque sur le démon... Je me tâte très honnêtement : je préfère alléger au maximum la partie déploiement sur une nouvelle machine (et donc la potentielle configuration d'un démon, mais c'est clair que ce sera au moins un processus normalisé...

Merci en tout cas !

Dernière modification par AsTeR (Le 31/08/2010, à 21:40)

Hors ligne