Führen Sie rsync mit Root-Berechtigung auf dem Remotecomputer aus

Ich möchte einen Ordner von meinem Computer mit einem Ordner auf einem Remote-Computer synchronisieren. Der entfernte Ordner kann nur von manipuliert werden root. Ich habe ein Konto auf dem Remote-Computer, das verwendet werden kann sudo. Wie kann ich rsync so ausführen, dass es Root-Berechtigungen auf dem Remotecomputer hat?

Ich habe Folgendes versucht:

rsync -avz -e ssh /home/ubuntu/my/lovely/folder ubuntu@x.x.x.x:/remote/lovely/folder --delete --rsync-path="sudo rsync"

Aber (nachdem ich mein Passwort eingegeben habe) bekomme ich folgende Fehlermeldung:

sudo: no tty present and no askpass program specified

Dies ist die Lösung, die ich mir ausgedacht habe:

rsync -R -avz -e ssh --rsync-path="echo mypassword | sudo -S  mkdir -p /remote/lovely/folder && sudo rsync" /home/ubuntu/my/lovely/folder ubuntu@x.x.x.x:/remote/lovely/folder --delete

Eine kleine Mission!

Versuchen Sie diese Lösung. In Ihrer sudoers-Datei ( /etc/sudoers) richten Sie Ihren Benutzer folgendermaßen ein:

username ALL= NOPASSWD:/usr/bin/rsync

Das NOPASSWD:/usr/bin/rsyncsagt, sudodass, wenn Ihr Benutzer ausgeführt wird /usr/bin/rsyncoder nur, rsyncdass kein Kennwort benötigt wird.

Dann sollte Ihr Original --rsync-path="sudo rsync"funktionieren.

Die Lösung in diesem Blog hat für mich sehr gut funktioniert: http://www.pplux.com/2009/02/07/rsync-root-and-sudo/ .

Grundsätzlich gilt:

stty -echo; ssh myUser@REMOTE_SERVER "sudo -v"; stty echo  
rsync -avze ssh --rsync-path='sudo rsync' myUser@REMOTE_SERVER:/REMOTE_PATH/ LOCAL_PATH 

In der ersten Zeile kann ein interaktives Kennwort eingegeben werden, ohne dass das Kennwort auf dem Bildschirm angezeigt wird. Funktioniert hervorragend für Ubuntu 9.04.

Sie benötigen eine Methode, um das Kennwort für anzugeben sudo. Ein askpassProgramm fragt nach Passwörtern, wenn die normalen Mechanismen nicht verfügbar sind. Das Einrichten sudo, dass kein Kennwort erforderlich ist, um rsyncals Benutzer-ID ausgeführt zu werden, ist eine Option.

Normalerweise konfiguriere ich die schlüsselbasierte Anmeldung mit entsprechenden Einschränkungen für Fälle wie diesen. Wenn Sie einen eingeschränkten Schlüssel konfigurieren, der nur rsyncals Root ausgeführt wird, ist dies einfacher. Eine andere Alternative besteht darin, einen rsycndProzess zum Behandeln der Remote-Anforderungen zu verwenden. Die Konfiguration bietet eine Reihe von Einschränkungen, die angewendet werden können.

BEARBEITEN: Ich habe ein Skript zum Einrichten von Schlüsseln für schlüsselbasierte Loings in den Abschnitt Erstellen von Benutzer-IDs auf Clients in meinem Beitrag zum Einrichten von BackupPC unter Linux aufgenommen . Siehe auch die Dokumentation zu ssh_config, in der einige der im Skript gezeigten Möglichkeiten zur Einschränkung der Schlüsselverwendung beschrieben sind.

auf Remote-Maschine

sudo apt install ssh-askpass
which ssh-askpass

dann auf lokaler Maschine

rsync -av -e 'ssh -X' --rsync-path='SUDO_ASKPASS=/usr/libexec/openssh/ssh-askpass sudo -A rsync' /some/local/path user@remote:/some/remote/path

Ersetzen Sie den Pfad zu ssh-askpass durch den tatsächlichen Pfad auf dem Remotecomputer

Quelle: http://unix.bris.ac.uk/2015/08/04/rsync-between-two-hosts-using-sudo-and-a-password-prompt/

Ich bin erstaunt über die Komplexität der vorhandenen Antworten. Es ist viel einfacher und bequemer, Ihre Systeme (Ihren PC und den Remote-Host) so zu konfigurieren, dass Sie als Root ohne Kennwort eine Verbindung zum Remote-Host herstellen können. Und anders als es aussieht, ist es auch sicher .

1. Stellen Sie auf dem Remote-Host sicher, dass in / etc / ssh / sshd_config die Zeile "PermitRootLogin without-password" (in vielen Distributionen standardmäßig vorhanden) angegeben ist. Auf diese Weise kann root eine SSH-Shell mit einer beliebigen Authentifizierungsmethode außer der Aufforderung zur Eingabe eines unsicheren Kennworts abrufen.
2. (Wenn Sie noch nicht wissen, wie) Befolgen Sie eines der zahlreichen Tutorials , um ein passwortloses Login über ssh zu erhalten
3. Verwenden Sie rsync wie gewohnt und ohne Passwortabfragen.

Vergessen Sie jedoch nicht, dass der Computer Root-Befehle von Ihrem PC akzeptiert, solange die Zeile in /root/.ssh/authorized_keys des Remote-Hosts vorhanden ist.

Hier ist, was bei mir funktioniert hat, wenn ich bedenke, dass ich die Kennwortauthentifizierung beibehalten möchte (damit ich weder NOPASSWDSchlüssel noch Schlüssel verwenden möchte ) - unter Ubuntu 14.04:

• "Öffnen" Sie den sudoRemote-Computer, indem Sie ihn tty_ticketsüber eine temporäre Datei in deaktivieren /etc/sudoers.d/(die unter Debian unterstützt werden sollte, siehe /etc/sudoers.d/README) und "Aktualisieren Sie die zwischengespeicherten Anmeldeinformationen des Benutzers", wodurch "das Sudo-Timeout um weitere 15 Minuten verlängert wird".
• Führen Sie das rsyncmit sudowie in anderen Antworten gezeigt aus
• "Herunterfahren" sudoauf dem Remotecomputer durch Entfernen der temporären Datei /etc/sudoers.d/, die erneut aktiviert wirdtty_tickets

... oder mit Kommandozeilen:

ssh -t $REMOTEPC 'echo "Defaults !tty_tickets" | sudo tee /etc/sudoers.d/temp; sudo -v'
rsync -aP -e 'ssh' '--rsync-path=sudo rsync' /etc/pulse/client.conf $REMOTEPC:/etc/pulse/client-copy.conf
ssh -t $REMOTEPC 'sudo rm -v /etc/sudoers.d/temp; sudo -v'

Dies sind die Antworten, die ich bekomme, wenn ich diese Befehle auf dem lokalen Computer ausführe:

$ ssh -t $REMOTEPC 'echo "Defaults !tty_tickets" | sudo tee /etc/sudoers.d/temp; sudo -v'
remoteuser@$REMOTEPC's password: 
[sudo] password for remoteuser: 
Defaults !tty_tickets
Connection to $REMOTEPC closed.

$ rsync -aP -e 'ssh' '--rsync-path=sudo rsync' /etc/pulse/client.conf $REMOTEPC:/etc/pulse/client-copy.conf
remoteuser@$REMOTEPC's password: 
sending incremental file list
client.conf
           1269 100%    0.00kB/s    0:00:00 (xfr#1, to-chk=0/1)

$ ssh -t $REMOTEPC 'sudo rm -v /etc/sudoers.d/temp; sudo -v'
remoteuser@$REMOTEPC's password: 
removed ‘/etc/sudoers.d/temp’
[sudo] password for remoteuser: 
Connection to $REMOTEPC closed.

Beachten Sie, dass sudo -vnach jedem Einspielen von Dateien ausgeführt werden sollte /etc/sudoers.d/, damit die darin vorgenommenen Änderungen akzeptiert werden.

Eine andere Methode besteht darin, die Berechtigungsbeschränkungen zu umgehen, indem Sie rsync auf dem Remotecomputer starten. Anstatt von:

rsync /home/ubuntu/my/lovely/folder ubuntu@x.x.x.x:/remote/lovely/folder

Du kannst tun:

ssh ubuntu@x.x.x.x 'rsync ubuntu@y.y.y.y:/home/ubuntu/my/lovely/folder /remote/lovely/folder'

Wo y.y.y.yist die IP-Adresse Ihres lokalen Computers? Dies funktioniert nur, wenn Ihr lokaler Computer als SSH-Server fungieren kann.

Mein Workuround ist das Hinzufügen --rsync-path="echo PASSWORD | sudo -Sv && sudo rsync"

Beispiel:

rsync -avz -e ssh /home/ubuntu/my/lovely/folder ubuntu@x.x.x.x:/remote/lovely/folder --delete --rsync-path="echo <PASSWORD> | sudo -Sv && sudo rsync"

In der Regel ist es keine gute Idee, Kennwörter einzeilig in die Befehlszeile einzufügen. Sie werden beispielsweise im Prozessbaum sichtbar. Ich ersetze manchmal das eigentliche Passwort in dieser Art von Anweisung durch $ (cat my_password.txt), was etwas besser ist

rsync -avz -e ssh /home/ubuntu/my/lovely/folder ubuntu@x.x.x.x:/remote/lovely/folder --delete --rsync-path="cat my_password.txt | sudo -Sv && sudo rsync"