Trojaned Ssh Daemon Komponent Hwclock Binære Alternativer


Steve Friedls Unixwiz Tech Tips Mange brukere har implementert Secure Shell (ssh) for å gi beskyttet tilgang til et eksternt Linux-system, men innser ikke at ved å tillate passordgodkjenning, er de fortsatt åpne for brute-force angrep fra hvor som helst på internett. Det er ormer som går hardt på internett, noe som gjør en effektiv jobb med å finne svake brukernavnskombinasjoner, og disse blir ikke stoppet ved bruk av Secure Shell. Denne Tech Tips beskriver hvordan du bruker den gratis PuTTY SSH-klienten til å koble til et Linux-system som kjører OpenSSH-serveren, alt sammen mens du bruker offentlig nøkkelkryptering og SSH-agentstøtte. Mye av denne informasjonen gjelder alle OpenSSH-installasjoner på et hvilket som helst UNIX-system - Solaris, BSD, OpenServer - men vi har rettet denne til Linux-plattformen når det er behov for spesifikasjoner. Installasjon og enkel configlogin Å gi full tilgang til passordfri, agentbasert tilgang krever mange trinn, så godt tilnærming dette i trinn ved først å sørge for vanlig passordtilgang til systemet. Dette gjør det mulig å teste den første installasjonen og muligheten til å logge inn før du aktiverer de mer avanserte funksjonene. Last ned og installer programmene I motsetning til de fleste Windows-programmer krever PuTTY-pakken ikke et installasjonsprogram: de enkelte. EXE-filene blir ganske enkelt falt inn i en katalog hvor de kjøres direkte. Vi beundrer økonomien og stilen som PuTTYs forfatter demonstrerer. Filene kan slippes inn i hvilken som helst katalog som ligger i brukerens kommandobane, og vi bruker vanligvis C: BIN (se neste punkt for hvordan du konfigurerer dette). Fem filer skal lastes ned fra PuTTY-siden. PuTTY. exe mdash Secure Shell klient PuTTYgen. exe mdash SSH publicprivate nøkkel generator Pagent. exe mdash SSH nøkkel agent PSCP. exe mdash Sikker kopi fra kommandolinjen PSFTP. exe mdash Sikker kopi med FTP-lignende grensesnitt Forsikre om installasjon katalogen er i kommandoen bane Selv om det er mulig å kjøre PuTTY med en full bane eller snarvei, er den praktisk når den er fullt tilgjengelig på CMD-ledeteksten for å få tilgang til eller kopiere filer fra hvor som helst i filsystemet. Høyreklikk på Min datamaskin på skrivebordet og velg Egenskaper. Klikk fanen Avansert øverst, og klikk deretter Miljøvariabler-knappen. Dette gir dialogboksen vist til høyre. Det er alltid PATH-variabel i delen Systemvariabler, og noen ganger også i brukervariabler-delen. Bare administratorer har tilgang til systemvariabler, så rediger eller legg til PATH etter behov. Vi legger vanligvis den nye katalogen i starten av banen, og den skilles fra resten av listen med en semikolon. Klikk på OK for å lagre alle endringene. Opprett en snarvei på skrivebordet PuTTY brukes ofte tungt av en IT-arbeider, så det er nyttig å ha en snarvei på skrivebordet for å gi enkel tilgang. For å legge til dette, høyreklikk på skrivebordet og klikk på Ny snarvei. Enten Bla til, eller skriv inn navnet på, banen til PuTTY-kjørbar. I vårt eksempel har det vært C: binputty. exe. Klikk på OK og gi snarveien et passende navn. Start PuTTY og konfigurer for målsystemet Start PuTTY via snarveien, og det vil vise konfigurasjonsdialogboksen: det er mange alternativer her. Vel fyll inn flere for å gi passordet tilgang til systemet, og konfigurer deretter for tilgang til offentlig nøkkel senere. Kategori: Vertsnavn: dbserver Protokoll: () SSH-tilkobling. Data Automatisk innlogging brukernavn: steve Connection. SSH-foretrukket SSH-protokollversjon: () 2 Bare Når disse enkle innstillingene er angitt, kan de lagres for å gjøre det enkelt for neste gang. Klikk på sesjon til venstre, og skriv deretter inn et navn i Lagrede økter - dette navnet vil vanligvis være relatert til maskinen du kobler til. Klikk Lagre for å lagre disse innstillingene i registret: weve valgt navnet Database server. Innlogging Med de lagrede innstillingene fra forrige trinn, kan du like å bruke dem til å koble til målsystemet. Start PuTTY (hvis ikke allerede åpen), og i øktdelen, klikk på navnet på den lagrede økten og klikk Last inn. Klikk Åpne for å starte forbindelsen. Når du blir bedt om det, skriv inn passordet for kontoen din på fjernsystemet, og hvis det er riktig, får du et skall. Nå kan du begynne å jobbe med systemet. Men - hver gang PuTTY kobler seg til en server, utveksler den identifikasjon i form av vertsnøkler. Hvis vertsnøkkelen er ukjent, eller samsvarer ikke med hva vi har sett tidligere, advarer den brukeren. For ukjente verter er dette for det meste en proforma-operasjon, men for tidligere kjente systemer kan det tyde på at verten ikke er den samme som opprinnelig tilkoblet. Vertsnøkler som har endret seg uten varsel kan oppstå når måloperativsystemet installeres på nytt uten å gjenopprette vertsnøklene fra sikkerhetskopiering, eller det kan være noe mer skumle som en skurk vertsmaskere som den ekte. Man bør alltid spørre seg om uventet endrede vertsnøkler. Opprette og bruke flere økter Når brukeren bare trenger å koble til ett system, er det mulig å programmere i disse parameterne i standard sesjon, men det er mye mer vanlig å få tilgang til flere systemer. Med litt oppsett kan vi enkelt lage og koble til disse systemene med ett klikk. Opprett og lagre øktene Som vi gjorde i forrige seksjon, lag og lagre så mange navngitte økter etter behov, og noter øktnavnene. Disse navnene kan refereres på kommandolinjen med parameteren - load, og kan legges inn i snarveien. Høyreklikk på snarveien og velg Egenskaper, og skriv deretter parameteren lasten sammen med navnet på økten (i anførselstegn om nødvendig). Klikk på OK for å lagre snarveiegenskapene. Det er også en god ide å gi nytt navn til snarveien for å gjenspeile navnet på serveren som er koblet til: Høyreklikk på snarveien og velg Gi nytt navn. Når snarveien er fullstendig konfigurert, starter dobbeltklikk på ikonet forbindelsen. Opprett så mange forhåndsprogrammerte snarveier etter behov. Opprett og installer en publicprivate keypair Den virkelige kraften til Secure Shell kommer inn i spill når publicprivate keys brukes. Til forskjell fra passordautentisering, blir tilgang til offentlig nøkkel gjort ved å utføre en engangsopprettelse av et par svært lange binære tall som er matematisk relatert. Det opprinnelige konfigurasjonstrinnet er moderat involvert, men det må bare gjøres en gang: Når det er opprettet, kan nøkkelen enkelt installeres på så mange eksterne systemer som ønsket. Kjør PuTTYgen Et par publicprivate keys mdash små filer som inneholder veldig store binære tall mdash er nødvendig, og PuTTYgen gjør dette. Det går bare en gang å skape et personlig par nøkler, som deretter installeres når det er nødvendig. Klikk på Start. deretter Kjør. Skriv deretter inn puttygen i kommandolinjeboksen. Dette viser hoveddialogboksen, vist til høyre. Velg nøkkelparametrene som vist, og klikk deretter Generer. Fordi DSA-tastaturet er fast til 1024 bits, og RSA-tastaturet kan gjøres mye større, anbefaler vi en 2048-bit RSA-nøkkel. Merk at standardinnstillingen er 1024 bits, du må manuelt overstyre for å velge 2048. Merk: Ikke opprett en SSH versjon 1-nøkkel av noe slag: de er ikke sikre. Du blir bedt om å opprette noe tilfeldig ved å flytte musen rundt: dette gir systemet litt ekstra entropi som bidrar til å skape bedre nøkler. Dette tar bare noen få sekunder for å generere tastaturet helt. Beskytt og lagre tastene Nå har tastaturet blitt generert, men eksisterer bare i PuTTYgens minne: det må lagres på disk for å være ubrukelig. Selv om den offentlige nøkkelen inneholder ingen sensitiv informasjon og vil bli installert på eksterne systemer, må den private nøkkelen beskyttes kraftig: alle som kjenner den private nøkkelen, har full drift av alle fjernsystemer. Den private nøkkelen er vanligvis beskyttet med en passordfrase, og denne setningen skrives inn to ganger i feltene som er angitt. Kommentaren er valgfri, men er vanligvis e-postadressen til nøkkelinnehaveren. Det kan også bare være eiernavn. Ikke glem passordet, keypair er ubrukelig uten det. Nøkkelen som genereres, må nå lagres, og dette gjøres i tre deler: Lagre offentlig nøkkel og lagre privat nøkkel, begge spør om et filnavn, og den private nøkkelen (med. ppk-utvidelse) skal lagres på et trygt sted. Den offentlige nøkkelen er i et standardformat og kan brukes direkte eller indirekte av annen programvare, og det ser slik ut: Den private nøkkelen er i et PuTTY-spesifikt format som ikke kan brukes av annen programvare. Det vil aldri bli sett på direkte av operatøren. Installer offentlig nøkkel på Linux-systemet Når puttygen fortsatt er åpen, marker du hele Public Key for å lim inn i OpenSSH authorizedkeys-filområdet og skriv kontroll-C for å kopiere til det lokale systemutklippstavlen. Dette er i hovedsak de samme dataene som finnes i den lagrede public key-filen, men i en form som kan brukes direkte på Linux-systemet. Logg inn på Linux-datamaskinen ved hjelp av kontopassordet, opprett. ssh-katalogen om nødvendig, og rediger deretter filen. sshauthorizedkeys. Dette vil bli en tekstfil, og utklippstavlen skal limes inn i den. Den offentlige nøkkelen vil bare være en lang linje, og det er veldig enkelt å lime inn dataene på en måte som avkorter de første tegnene. Dette gjør nøkkelen ubrukelig, så vær sikker på at nøkkelen begynner ssh-rsa eller ssh-dsa. Lagre filen. Forsikre deg om at både. ssh-katalogen og filene i den bare kan leses av den nåværende brukeren (dette er en sikkerhetsforanstaltning), og dette kan oppnås ved hjelp av chmod-kommandoen med parametere som gjelder for hele katalogen: Logg ut av systemet. Merk - Authorkeys-filen må være eid av brukeren og unreadableunwritable av noen andre - OpenSSH-serveren vil nekte pålogginger hvis dette ikke er tilfelle. Man kan sjekke dette med kommandoen ls: Filen må være modus - rw -------. Vedlegg den private nøkkelen til SSH-sesjonen Nå som publicprivate keypair er opprettet, kan det knyttes til en SSH-økt. Først gjør du dette i PuTTY ved å starte programmet og laste inn interessesesjonen. Naviger til Tilkobling. SSH. Auth i kategori-panelet til venstre, og fyll deretter inn privatnøkkelfilen for autentiseringsfelt ved å bla til. ppk-filen som er lagret tidligere. Merknad - Med andre Secure Shell-klienter har vi sett muligheten til å legge en privat nøkkel til alle økter (som en del av en global konfigurasjon), men med PuTTY ser det ut til å kreve konfigurasjon for hver økt. Var ikke sikker på hvorfor. Gå tilbake til Session-kategorinivået og lagre gjeldende økt. På dette tidspunktet er PuTTY (på Windows) og OpenSSH (på Linux) begge konfigurert for sikker, offentlig nøkkel tilgang. Koble til via den offentlige nøkkelen Nå når konfigurasjonstrinnene er fullført, var klare til å logge inn faktisk ved hjelp av den offentlige nøkkelen, helt unngår passordetrinnet. Koble sikkert Start Launch PuTTY med alternativer for å laste den lagrede økten med den private nøkkelen: I stedet for å spørre om passordet for kontoen (som vil variere fra hvert fjernt system), ber det stedet om passordet som beskytter den lokale private nøkkelen. Når den private nøkkelen passer inn i den offentlige nøkkelen på OpenSSH-serveren, får du tilgang og et skall som presenteres for brukeren. Det er viktig å merke seg at selv om brukeren må skrive et hemmelig ord når han logger inn, er passordet knyttet til den lokale private nøkkelen. ikke den eksterne kontoen. Selv om brukerens offentlige nøkkel er installert på 1000 forskjellige eksterne servere, kreves samme passord for privat nøkkel for alle dem. Dette forenkler i stor grad oppgaven med å huske tilgangsinformasjon og oppfordrer til valg av sterke, sikre seg. Deaktivering av passordautentisering på OpenSSH Når brukerne offentlige og private keypair er verifisert som riktige, er det mulig å deaktivere passordautentisering på Linux-serveren helt. Dette forkaster alle mulige passordgassforsøk og sikrer en maskin en dramatisk sikring. For maskiner som ikke er fysisk lokale, er det imidlertid lurt å utsette deaktivert passordgodkjenning til det er helt klart at nøkkeladgangen fungerer som den skal, spesielt hvis flere brukere er involvert. Når passordautentisering er deaktivert, vil ikke root-passordet tillate en til systemet. De nye til offentlig nøkkel tilgang oppfordres til å teste svært nøye. Konfigurasjonen av SSH Daemon finnes i filen sshdconfig, ofte lagret i etcssh-katalogen. Dette er en tekstfil som er relativt lett å lese og leter etter to oppføringer for å modifisere. Først er å sette PasswordAuthentication til verdi nr. Dette kan eksplisitt settes til ja. eller det kan bli kommentert å stole på standard, men vi ønsker å eksplisitt deaktivere dette: For det andre ønsker vi å deaktivere SSH-protokoll versjon 1: dette er gammelt, har flere betydelige sikkerhetssvakheter, og bør ikke tillates fra omverdenen . Rediger konfigurasjonsfilen og sørg for at de to søkeordoppføringene er satt korrekt, kommenterer de gamle oppføringene om nødvendig. Når konfigurasjonsfilen er lagret, må Secure Shell-demonen startes på de fleste plattformer, dette kan gjøres med servicemekanismen: Dette dreper lyttedemonen og starter den på nytt, men avslutter ikke noen eksisterende individuelle brukerøkter. De som føler dette kan være et risikabelt skritt, er invitert til å bare starte maskinen på nytt. På dette tidspunktet vil OpenSSH ikke lenger akseptere passord av noe slag, med tilgang gitt kun for brukere med forhåndsdefinerte offentlige nøkler. Aktivering av SSH Agent Support Opptil dette punktet har weve gitt en stor måte å sikre systemtilgang, men det er fortsatt ikke veldig praktisk: vi må fortsatt skrive et (forhåpentligvis) komplekst passord hver gang. Dette kan bli kjedelig når et stort antall systemer er involvert. Heldigvis gir SSH-pakken en fantastisk mekanisme for å låse opp den private nøkkelen en gang, og tillater individuelle ssh-tilkoblinger til å piggyback på den uten å spørre om passordet hver gang. Start agenten Naviger til og start pageant. exe-programmet fra samme sted som de andre PuTTY-relaterte filene, og det vil sette seg inn i systemstatusfeltet (nederst til høyre nær klokken). Dobbeltklikk på ikonet i skuffen, og det starter en dialogboks med en tom liste over nøkler. Klikk på Legg til nøkkel og naviger til. ppk-filen som inneholder din private nøkkel. Når du blir bedt om passordfrasen, skriv den inn og klikk OK. Klikk på Lukk for å avvise agenten. Nå lanserer du en av de allerede konfigurerte SSH-øktene til en pubkey-sikret ekstern vert: Den vil spørre agenten for den private nøkkelen, bytte den med fjernkontrollen og gi tilgang uten ytterligere brukerintervensjon. Merk: Den tankevekkende leseren kan kanskje lure på hvordan agenten lagrer dataene, og om ikke-troverdige programmer er i stand til å skaffe seg denne hemmelige nøkkelen surreptitiously. Var ikke sikker på hvordan det fungerer, men vi har aldri hørt om ekte sikkerhetsproblemer på denne fronten. Vel oppdater dette dokumentet hvis vi lærer noe. Forlaste privatnøkkelen Det første som mange PuTTY-brukere gjør når de logger på systemet for dagen, er å starte agenten og legge til privatnøkkelen. Dette er bare noen få skritt, men vi kan optimalisere det bare litt mer. Hvis vi starter agenten med den private nøkkelfilen som en parameter, laster den automatisk nøkkelen. Naviger til pageant. exe og høyreklikk for å kopiere dette ikonet. Lim inn dette som en snarvei på skrivebordet, høyreklikk deretter og velg Egenskaper. Skriv inn den fullstendige banen til. ppk private nøkkelfilen som parameter, og lagre endringene. Ved å dobbeltklikke på dette ikonet lastes keyfilen, og krever passordfrasen. En gang inn, det var siste gangen det trengte så lenge agenten stakk rundt. Det er veldig lite å ikke like om SSH-agent støtte. Agent Forwarding Men weve ikke utmattet fordelene med SSH agent støtte. Det er en klar seier for å unngå å skrive passordet hver gang en ny forbindelse blir lansert, men SSH gir også Agent Forwarding som kan passere legitimasjonen ned tilkoblingen til den eksterne serveren. Denne legitimasjonen kan da sendes til enda en annen server der brukerens offentlige nøkkel er installert, fjerner passord eller den hemmelige passordfrasen for hele varigheten av en nettverksnavigasjon. Bruker lanserer en forbindelse til Server A: PuTTY på den lokale maskinen får den private nøkkelen fra agenten og gir den til den eksterne serveren. Fjernserver behandler offentlige og private nøkkeldata og gir tilgang. Brukeren får et skall på det lokale systemet. Bruker forsøker å koble til SystemB med ssh - A systemb (-A aktiverer agent videresending), og den kobles til SSH-serveren der. System B spør system A for brukernes private nøkkeldata, og SSH-serveren på system A går i sin tur tilbake til den opprinnelige arbeidsstasjonen der agenten blir spurt. Den lokale agenten overfører dataene tilbake til forbindelsen, der den sendes fra SystemA til SystemB. SystemB mottar denne legitimasjonen, og tilgang er gitt ved å sammenligne til den offentlige nøkkelen som er lagret på den maskinen for den brukeren. Dette skjer automatisk og raskt: det tar ikke mer enn et sekund eller to for hele utvekslingen å skje, og denne videresending kan gå over ganske lang kjede med SSH-tilkoblinger. Dette sørger for gjennomsiktig, sikker tilgang til et bredt spekter av fjernsystemer. Merk - Alt dette krever at brukeren har en konto på hver maskin i spørsmålet, og at brukerens offentlige nøkkel er riktig installert på hver enkelt. SSH videresending gir ikke noen tilgang som ikke ville bli gitt fraværende videresending det bare legger til en mer praktisk mekanisme til hva som allerede er gitt. Aktiver videresending i PuTTY Aktiveringsmiddel videresending gjøres i PuTTY-konfigurasjonsdialogene, akkurat som resten, og bare en ekstra boks må kontrolleres. Dette alternativet krever selvsagt bruken av festivalen på det lokale systemet - uten agent, er det ingenting å videresende. Skulle en nøkkelbeskyttet forbindelse bli forsøkt uten agent tilstede, vil PuTTY bare spørre om passordet som det har hele tiden (og vil gjøre det på hver tilkobling). Aktiver videresending på serveren I eksemplet ovenfor så vi at brukeren skrev ssh - A-vert. men det er vanlig å lage Bruk agent videresending standardinnstillingen for å fjerne behovet for å skrive - A. OpenSSH-serverkonfigurasjonen finnes i sshdconfig. mens klientkonfigurasjonen er i sshconfig (vanligvis i etcssh-katalogen). Filen kan redigeres og innstillingen ForwardAgent er satt til ja: Denne innstillingen påvirker ikke serveren, så det krever ingen omstart eller spesialoperasjon for at den skal tre i kraft: neste utgående tilkobling vil aktivere videresending automatisk. Denne endringen må bare gjøres én gang (og det er standard på enkelte systemer). Kopiering av filer sikkert Med konfigurasjonen av PuTTY ble tilgang til offentlig nøkkel og agentstøtte (med videresending) forberedt på å gå utover terminal shell-tilgang og flytte filer rundt. Secure Shell gir flere metoder for å kopiere filer fra en maskin til en annen, alle sammen med de samme nøklene og agenter. PSCP tillater kommandolinjekopiering av filer til og fra en ekstern SSH-server, og PSFTP gir et FTP-lignende grensesnitt for enkel filoverføring. Vel diskutere begge. PSFTP - en FTP-lignende klient PSFTP-programmet kan startes fra kommandolinjen eller fra en skrivebordsgenvei, og i begge tilfeller aksepterer enten et vertsnavn eller et lagret sesjonsnavn. Når den lanseres, kobles den til målserveren (fullt ut utnyttet offentlige nøkler og den lokale agenten, hvis noen), og presenterer en psftpgt-spørring: Vanlige brukere av kommandolinjens FTP-klienter finner dette kjent, men det er absolutt ikke opp til enkel bruk som populære GUI klienter. Hjelpkommandoen kan gi noen veiledning. PSCP - Secure Copy-brukere på kommandolinjen kan ønske å kopiere filer direkte, og dette gjøres med pscp. kommandoen Secure Copy. Akkurat som å kopiere vanlige filer på det lokale filsystemet, tar pscp et maskinnavn og katalog som kilde eller destinasjon. pscp kan overføre en fil om gangen, eller et helt sett i en enkelt forekomst: Merkelig, det lagrede sesjonsnavnet trenger ikke bare oppgitt vertsnavnet og gjeldende brukernavn (som vanligvis blir tatt automatisk fra miljøet. Det ser ut til at psftp og pscp både konsulter listen over lagrede økter, finn en passende kamp, ​​og bruk deretter tilgangsinformasjonen. Dette gir en jevn overføringsopplevelse. Sikkerhetsproblemer og Finer Points Denne Tech Tip har ment å gi en rask vei til innstilling opp et Secure Shell-miljø fra arbeidsstasjon til server, men det har hoppet over mange av de fineste punktene. Hele poenget med å bruke Secure Shell er Security, og vi må være remiss hvis vi ikke rørte noen av disse punktene her. pek på at man må passe på når man jobber med et usikkert system: når man bruker avanserte funksjoner som agent videresending eller private nøkler, er en til nåde av en fiendtlig operatør. Kernelbaserte keyloggers og trojanert binssh bi naries er bare noen få av mange åpenbare risikoer når de opererer i det slags miljø. Her er det godt å ta på noen av de ikke-åpenbare punktene, og merk at det i et klarert og kontrollert miljø ikke bare oppstår disse problemene. Beskytt din private nøkkel Selv om den offentlige nøkkelen er av liten betydning, må den private nøkkelen være beskyttet kraftig. Alle som kan komme til den dekrypterte private nøkkelen (enten ved å lære passordet eller brute-force det) har full kjøring av alle nettverk der den offentlige nøkkelen er installert. Vi anbefaler på det sterkeste å begrense antall plasser hvor den private nøkkelen holdes. Vi antar at applikasjoner eksisterer som kan ta en privat nøkkelfil og forsøke å brute-force nøkkelen, selv om vi ennå ikke har kjørt over en. Agentbruk krever pålitelige maskiner Når en SSH-nøkkelagent er til stede, enten det er på den lokale maskinen som starter den utgående tilkoblingen eller på mellomliggende maskiner som videresender dem, er det teknisk mulig for interlopers på disse maskinene å få tilgang til den sikre kanalen . I OpenSSH kommuniserer en ssh-klient med agenten via et UNIX-domeneuttak under tmp-katalogen (en representativ fil er tmpssh-DeB10132agent.10132), og den er begrenset til den lokale brukeren. Men superusere har også tilgang til stikkontakten, og det er relativt enkelt å kapre agenten for å koble til samme målmaskin. Beslektede ressurser Denne artikkelen er en del av BackupYourSystem-serien. Mer innledende informasjon finnes der. Innledning Fra man siden: Rsync er et raskt og ekstremt allsidig filkopiering verktøy. Den kan kopiere lokalt, fra en annen vert over et eksternt skall, eller fra en ekstern rsync-daemon. Det tilbyr et stort antall alternativer som kontrollerer alle aspekter av sin oppførsel og tillater meget fleksibel spesifikasjon av settet av filer som skal kopieres. Den er kjent for sin delta-overføringsalgoritme, som reduserer mengden data som sendes over nettverket ved å sende kun forskjellene mellom kildefilene og de eksisterende filene i destinasjonen. Rsync er mye brukt til sikkerhetskopiering og speiling og som en forbedret kopikommando for daglig bruk. Med andre ord er rsync et verktøy for effektivt å kopiere og sikkerhetskopiere data fra ett sted (kilden) til en annen (destinasjonen). Den er effektiv fordi den kun overfører filer som er forskjellige mellom kilde - og destinasjonsmapper. Rsync er et kommandolinjeverktøy. Brukere som prøver å bruke den, bør være kjent med kommandolinjen (se Bruke terminalen). Hvis du foretrekker et grafisk grensesnitt, se Grsync-delen av denne siden. Installasjon Rsync er som standard installert i Ubuntu. Pass på å sjekke om følgende pakker er installert før du starter (se Installere en pakke): rsync, xinetd, ssh. Utfør en enkel sikkerhetskopi Den enkleste metoden for sikkerhetskopiering over et nettverk er å bruke rsync via SSH (ved hjelp av - e ssh-alternativet). Alternativt kan du bruke rsync-demonen (se Rsync Daemon, som krever mye mer konfigurasjon. Lokal sikkerhetskopiering krever bare rsync og readwrite-tilgang til mappene som synkroniseres. Nedenfor finner du eksempler på kommandoer som kan brukes til sikkerhetskopiering i begge tilfeller. bør det bemerkes at en nettverkssynkronisering kan utføres lokalt så lenge mappen er delt (si av Samba) og deretter montert på maskinen med mappe1. Denne prosessen kommer rundt å måtte bruke ssh, men er mindre sikker og bør bare brukes i sikre private nettverk, som hjemme. Backup Over Network En forklaring på alternativene ovenfor for kommandoer: - Dry-run Dette forteller rsync å ikke faktisk gjøre noe. Det vil bare skrive en logg av hva det ville gjøre på skjermen. Når du har sørget for at alt vil fungere som du forventer, må du fjerne dette alternativet, og kjør kommandoen igjen for å utføre den faktiske sikkerhetskopien. - Delet sletter filer som ikke eksisterer på systemet som sikkerhetskopieres. (Valgfritt) - beholder datoen og t imes og tillatelser av filene (samme som - rlptgoD). Med dette alternativet vil rsync: Etterkomme rekursivt til alle kataloger (-r), kopiere symlinks som symlinks (-l), bevare filtillatelser (-p), bevare modifikasjonstider (-t), bevare fileierskap (-o) og - z komprimerer data - vv øker skjønnheten i rapporteringsprosessen-spesifiserer eksternt skall for å bruke mappe1 og mappe2 I eksemplene ovenfor er mappe1 og 2 plassholdere for at katalogene skal synkroniseres. Mappe1 er den opprinnelige mappen, og 2 er den nye mappen, eller den eksisterende som skal bringes i synkronisering med den første. Erstatt dem med mappene du liker. A ble lagt til etter mappe1 slik at bare innholdet, i stedet for hele mappen, ville bli flyttet inn i den andre. En komplett oppsummering av alle alternativene med rsync-kommandoen kan bli funnet på mannssidene under Alternativer Sammendrag. Man siden for rsync kan også bli funnet på linux. die Grsync er en GUI frontend for rsync verktøyet. Det enkle grensesnittet til GUI avslører mange av de grunnleggende alternativene som er tilgjengelige med rsync. Det er nyttig for de som foretrekker å ikke bruke kommandolinjen. Installasjon Programmet grsync kommer ikke som standard installert på Ubuntu eller andre forstyrrelser, men det er lett tilgjengelig fra de viktigste Repositories. For å få grsync sikre at Universe-delen av Ubuntu-depotene er aktivert i programvarekildene dine. Deretter installerer du denne programvaren i Ubuntu, installerer du følgende pakke. grsync. Konfigurering For å starte opp grsync, gå gjennom følgende menyer: Programmer - Systemverktøy - Går Grsync. Ved oppstart vil du bli presentert med hovedvinduet, der alle konfigurasjonene foregår. I dette vinduet er alle de alternativene de fleste brukere noensinne vil trenge. For å forklare, vil alternativene bli oppført og deres effekter nevnt. Sessjoner - Denne funksjonen er den samme som profiler i andre. Hver økt lagrer et annet sett med kilde - og destinasjonsmapper, samt konfigurasjonsalternativene som er knyttet til mappeparet. Dette muliggjør synkronisering av forskjellige sett med mapper i henhold til forskjellige alternativer. Administrasjon av økter er enkelt, trykk bare på Add-knappen for å legge til en ny. For å slette, velg økten du ikke lenger vil ha fra rullegardinmenyen og trykk Slett. Kilde og destinasjon - Disse to boksene viser de to mappene (teknisk referert til som kataloger) som vil bli synkronisert. Den øverste er kilden og bunnen av destinasjonen. Så når du utfører synkroniseringen, blir filene fra Source kopiert til Destinasjonen i henhold til alternativene en bruker velger. For å spesifisere katalogene, velg Bla gjennom dem fra GUI, eller skriv dem inn i henhold til standardbanekonvensjonene. Bryter - Det universelle reload-tegnet til høyre for Browse-knappene er en praktisk knapp. Det vil øyeblikkelig bytte kilde med destinasjonen. Importer og eksporter - Etter at du har konfigurert økter, kan en bruker kanskje sikkerhetskopiere dem for lagring. For å gjøre det, gå ganske enkelt til øktmenyen øverst og velg enten Importer eller Eksporter. Den førstnevnte vil gjenopprette en økt fra en tidligere sikkerhetskopiering, sistnevnte vil gjøre en sikkerhetskopi av gjeldende økt. Merk: Denne sikkerhetskopieringsfunksjonen fungerer på en sessionsbasis. Dette betyr at hver økt du vil sikkerhetskopiere, må velges fra rullegardinmenyen og deretter sikkerhetskopieres. Hvis du har 3 forskjellige økter, velger du hver og en og Eksporter dem. Samme når du importerer økter. Grunnleggende alternativer - De fleste brukere finner de fleste alternativene de noensinne vil trenge her. De første fire vil bevare egenskapene til de overførte filene. De andre vil endre hvordan filene kopieres. For mer informasjon om hva hver enkelt gjør, svev den stasjonære markøren over alternativet, og det vil vise en liten forklaring. De valgte alternativene er selvfølgelig de som skal brukes i løpet av sesjonen. Avanserte alternativer - Denne kategorien inneholder flere alternativer, mange er nyttige og selvforklarende. For de som ikke forstås, vil verktøytips vises når musen er over et alternativ lenge nok. Tilleggsalternativer - Denne oppføringsboksen tillater innmating av tilleggsalternativer som ikke er presentert i GUI, men som er kjent for brukeren. Bruk anbefales kun for erfarne brukere. Innmatning av misdannede alternativer kan ha uventede konsekvenser. Simulering og utførelse De to siste knappene på vinduet er Simulering og Utførelse. Knappen for simulering er svært nyttig når det er usikkert hva som vil skje basert på de valgte alternativene. Den normale overføringsdialogskjermbildet vil dukke opp, og i hovedruten vises en liste over filer som skulle ha blitt kopiert over. Brukeren kan da bekrefte om dette er som ønsket eller foreta endringer. Når økten er startet med Utfør-knappen, vil dialogboksen vises igjen, men denne gangen vil den faktisk behandle mappene tilsvarende. Forsikre deg om at du trykker på Utfør at du er fornøyd med simuleringen. Sikkerhetskopiering av ekstern sikkerhetskopiering via et nettverk er mulig, helst brukeren skal montere nettverksandelen som skal sikkerhetskopieres før lanseringen av programmet. Delen vil da bli oppført i Bla gjennom GUI og kan enkelt legges til. Det er ingen egen seksjon for nettverket, hvis mer avanserte funksjoner kreves, oppfordres brukeren til å se på alternativer, hvorav mange er. Alternativer Det finnes mange alternativer, i ulike stadier av utvikling. For en ufullstendig liste, se her. Rsync Daemon Rsync-demonen er et alternativ til SSH for ekstern sikkerhetskopiering. Selv om det er vanskeligere å konfigurere, gir det noen fordeler. Hvis du for eksempel bruker SSH til å gjøre en ekstern sikkerhetskopiering av et helt system, krever det at SSH-demonen tillater root-login, som regnes som en sikkerhetsrisiko. Bruk av rsync-demonen tillater at root-login via SSH blir deaktivert. Konfigurering av rsync Daemon 1. Rediger filen etcdefaultrsync for å starte rsync som daemon ved hjelp av xinetd. Oppføringen som er oppført nedenfor, bør endres fra falsk til inetd. 2. Installer xinetd fordi det ikke er installert som standard. 3. Lag filen etcxinetd. drsync for å starte rsync via xinetd. Den skal inneholde følgende tekstlinjer. 4. Opprett filen etcrsyncd. conf for rsync i daemon-modus. Filen skal inneholde følgende. I filen må brukeren erstattes med navnet på brukeren på den eksterne maskinen som er logget inn. 5. Opprett etcrsyncd. secrets for brukerens passord. User should be the same as above, with password the one used to log into the remote machine as the indicated user. 6. This step sets the file permissions for rsyncd. secrets. 7. StartRestart xinetd Run the following command to check if everything is ok. The output listed is just a sample, should be what is on your shared remote machine. Hostname can be replaced by the IP address of the machine. Backup With Rsync and Ssh (scroll to bottom if you want a much less informative synopsis of what will be covered) When I first began tinkering with this idea, the whole SSH thing kind of confused me, mostly because I didnt think SSH would be easy for an end user to utilize. While SSH is very complex in design, theyve made it super easy for the end user to set up an authentication key set. Essentially, SSH is a 1 to 1 authenticated connection that can be obtained without a password. Once this is in place, you can utilize rsync to run automatically. Before we begin, please ensure you have openssh-server installed on your file server in question. Next, we need to set up a key pair. You will receive a public key and private key. You will be asked some questions, such as whether or not you want a password to the key pair, etc. I chose no and basically left everything else default. I went with no password because SSH keys are pretty -- secure, and plus I wanted this to be automated. I was not sure how I could automate this process while still having a password on it. The public key needs to get copied to the authorizedkeys file on the server. Thanks to a handy command, this is painless. Replace jason192.168.1.150 with what your setup would be. Itll ask you for your password. Put in your password to the user account youre authenticating against on the file server. Once done, you should be able to run: If it did not ask for a password and your prompt changed, youre good to go. If it asked you for a password, something is likely off. Please note, if you mess around with the SSH keys (by deleting them, adding new ones, etc.) itll require a reboot (some people have told me log out log in works fine too) to reset. I dont know enough about that to explain whats happening besides taking the educated guess that the SSH key is getting locked to your session. Unless you plan to tinker around like I did, where I would delete the SSH keys and re-generate them over and over for learning purposes, you wont run into this issue. But if you do, I wanted to throw this out there. So, SSH is set up and youre good to go. Now what Its rsyncs turn. You have opened the door with SSH, now you need to put it in gear with rsync. Rsync is a remote synchronization tool. For my uses, its pretty much awesome. I suggest you folks read the rsync man page for more information. Just a side note, anybody reading this who uses Linux, please keep man pages in mind. Theyre quicker than Google. Honestly. You can read them up by going to terminal and typing man rsync. Of course, you can substitute rsync for any other command to read more about it as well, aka man cp etc. The man page will go over the functionality of a bunch of flags. Theres a few I personally use and Ill cover them in my own words below. - a Archive mode. This keeps the time, permissions, owner, group, and other various settings the same as the source. I like using - a because it ensures that my data on the file server match my data on the desktop, even down to who owns what and the time stamps. - z Compression mode. I havent really used this until recently. Im not sure if I notice a difference because rsync is pretty fast to begin with, but I tack it in there, mostly because, why not --exclude Exclude mode. This is if you want to exclude a specific directory, trash, videos, etc. For example, lets say you want to exclude ALL hidden filesfolder. you would do --exclude. Notice after the equals sign there is a period and That ensures youre doing the wild card, meaning EVERYTHING, but only after the period. Since hidden filesfolders are began with a period, you can see how it would include. folder1.folder2.folder3, etc. Note - Personally, I would definitely recommend excluding. gvfs. gvfs is the gnome virtual file system. It essentially acts as a mount point for network resources. Lets say your file server is accessible through. gvfs. If you rsync everything and dont exclude. gvfs, youre in essence duplicating the data on your file server that already exists, because itll exist in its primary folder, as well as through. gvfs thanks to your file server. homejasonDocuments homejasonMusic homejasonPictures homejason. gvfsDocuments homejason. gvfsMusic homejason. gvfsPictures By excluding. gvfs, you avoid this all together. If youre backing up a home directory, Id suggest doing it. Using simply --exclude. gvfs works for me, but if you need the full path, it would of course be --excludehomejason. gvfs --delete This will delete files on the destination that dont exist on the source. Lets say you have a folder that contains 100 GB of data and its simply named data. If you rename it to data2, your server would contain a copy of data and data2 a grand total of 200 GB. If you want the data on your server to be identical, use --delete. If you want to have some sort of older file redundancy (I know some people prefer this), dont use --delete. --progress If you run rsync manually, youll be able to see the progress of whats going on instead of just a flashing cursor. I only use this flag if I want to run the command manually and see what its doing. I dont bother using this when its showtime and I want it automated in the background. Other than that, its just about setting up the source and destination. Lets start with the destination, since after all, were tinkering with SSH here so its a tad bit different. For the destination, youll need the user, server, and folder path. As I said, my name is Jason, and my file server is 192.168.1.150. My folder path on my server in particular is mediaNASjason. In my case, NAS is a network drive I shared out, so its pretty specific to my situation. Yours is likely to differ. Tailor the destination to your own situation. If your backup drive is mediastorage and you have a folder on storage named frank, then use mediastoragefrank, etc. In my case: is my destination. Now, about the sources. Theyre simple enough, as its the same as above except it doesnt include userserver. If you want your entire home directory to be synchronized, you can do so with just: If you want your entire home directory synchronized but with the exclusion of. gvfs and the --delete flag, use: Getting the jist of it now Note, you can have multiple sources as well, which makes it handy if you only want to back up a few specific folders to your file server. In my case, I had limited file server space, so I only wanted to back up the most important data to my file server, which to me is Documents and Pictures. Example: You can then set up a Cron job for this to run at specific times. I never run rsync as root, so when I set it up in Cron I set it to launch as jason and just tagged the above rsync command in. Ive since moved away from the Cron route. I shut down my computer at night, but my file server stays up all the time, I added an entry in Startup Applications to do the backup for me, which is handy because it runs at system startup. I named it NAS Backup and put the above command in the command field. Everything works like a charm with zero input needed from me. imagessmiliesguitar. gif Quick tip, if youd like to check out a decent rsync GUI, fire up grsync. Its easy to use and will help you structure out the rsync command if youre not entirely sure just yet. Just note, there is no --exclude flag in the GUI, so youll have to add it manually under Additional Options, but thats pretty -- easy to do. Grsync also doesnt use - a, but instead it breaks up - a to - t - o - p - g etc. Read the rsync man page under the - a section to see why this makes littleno difference. Once you have it formulated the way you want, you can also do a test run, which is one of the features of grsync to make sure it works properly prior to giving it the green light. Assuming all is well and youre done, you can schedule this grsync job with, you guessed it, either Startup Applications or Cron. Keep in mind, the syntax for it is grsync - e jobname. So if you named the job backup, youd run grsync - e backup. This would be the same for Cron or Startup Applications. I tested it running it in Startup Applications. It comes up with a GUI window when I log in showing me the status of the data transfer. If I go the route with Startup Applications and just throwing the full rsync command in, it does it completely in the background. Depending on how much of a visual status you want may dictate which route you go. At any rate, serious kudos to the SSH, Rsync, and Grsync team, as theyve brewed up some very impressive technologies here. The above was meant to be super informative. I hope some users can set up a backup system that works for them. Keep in mind, you never know when Mr. HardDrive is going to tank on you, so plan ahead. Below is a rough summary of what youre doing for the users who dont want to read through a mountain of text. Note: Change the below settings to match your setup, unless your name happens to be Jason and your file server happens to be 192.168.1.150. Client Startup Applications - Select New - Name it backup or whatever you please, and add desired rsync line in the command box, such as:CentOS SSH Installation And Configuration Darr247 December 18, 2011, 5:38 am There are a couplefew things I don8217t get8230 e. g. for Make sure port 22 is opened: netstat - tulpn grep :22 What are we supposed to see if port 22 is opened Add the line - A RH-Firewall-1-INPUT - m state 8211state NEW - m tcp - p tcp 8211dport 22 - j ACCEPT add it where. In the :INPUT ACCEPT section in the :OUTPUT ACCEPT section after :COMMIT No matter which line I put it on, when I restart the iptables service I get a red FAILED message for that line. And then you change the SSH port to 1235 but don8217t revisit iptables What am I missing here Boymix81 February 28, 2012, 9:20 pm - A RH-Firewall-1-INPUT - s 192.168.1.024 - m state 8211state NEW - p tcp 8211dport 22 - j ACCEPT - A INPUT - s 192.168.1.024 - m state 8211state NEW - p tcp 8211dport 22 - j ACCEPT

Comments

Post a Comment

Popular posts from this blog

Time Warner Aksjeopsjoner

Time Warner Inc (TWX) Vi oppfordrer deg til å bruke kommentarer til å engasjere seg med brukere, dele perspektivet ditt og stille spørsmål til forfattere og hverandre. Men for å opprettholde det høye nivået av diskurseversquove kommer alle til å verdsette og forventer, vær så snill å holde følgende kriterium i bakhodet: Berik samtalen Hold deg fokusert og på sporet. Bare legg inn materiale som er relevant for emnet som diskuteres. Vær respektfull. Selv negative meninger kan innrammes positivt og diplomatisk. Bruk standard skriftlig stil. Inkludere tegnsetting og øvre og nedre tilfeller. MERK. Spam andor salgsfremmende meldinger og linker i en kommentar blir fjernet Unngå profanitet, forferdelse eller personlige angrep rettet mot forfatter eller annen bruker. Donrsquot Monopoliser samtalen. Vi setter pris på lidenskap og overbevisning, men vi tror også sterkt på å gi alle sjansen til å lufte sine tanker. Derfor forventer vi i tillegg til sivil samhandling, at kommentatorer gir sine meni...
Read more

Tipe Senyawa Binære Alternativer

Binære opsjonstyper Alpari Limited, Cedar Hill Crest, Villa, Kingstown VC0100, Saint Vincent og Grenadinene, Vestindia, er innlemmet under registrert nummer 20389 IBC 2012 av Registrar for International Business Companies, registrert av Financial Services Authority of Saint Vincent og Grenadinene. Alpari Limited, 60 Market Square, Belize City, Belize, er innlemmet under registrert nummer 137.509, godkjent av International Financial Services Commission of Belize, lisensnummer IFSC60301TS17. Alpari Research Analysis Limited, 17 Ensign House, Admirals Way, Canary Wharf, London, Storbritannia, E14 9XQ (finansiell forskning og analyse for Alpari-omsetninger). Alpari er medlem av The Financial Commission. en internasjonal organisasjon som arbeider med å løse tvister i finansbransjen i Forex markedet. Risikofriansvarsel. Før du handler, bør du sørge for at du fullt ut forstår risikoen ved leveransehandel og har den nødvendige opplevelsen. 1998-2017 Alpari Limited Data kan ikke vises.32 Oppdat...
Read more

Szlafroki Forex Opinie

Rafjolka. pl Widoczno w wyszukiwarkach na podstawie rangering w SERP stronie na 389 sw kluczowych Zebralimy dane o ponad 1.481.989 sw kluczowych. Strona internetowa zostaa zaoona w Rafjolka. pl wynikw wyszukiwania 424 razy za 389 sw kluczowych (dla niektrych zapyta s dwa lub wicej linkw, ktre wskazuje na stronie internetowej). For å få tips fra så mange reisende som mulig, har denne anmeldelsen automatisk blitt oversatt til engelsk, og den kan derfor være en ikke perfekt kopi av originalen. Organicznych wyszukiwania widoczno na 389 sw kluczowych Powizane sowa kluczowe w sumie 20 Lista sw kluczowych podobnych do sw kluczowych, dla ktrych strona jest ju w rangingu, en prezentowane w wikikach wyszukiwania. Zazwyczaj s en wyszukiwania, ktre Google oferuje do osoby, ktra jest wyrejestrowany pierwsze 10 wynikw, en teraz decyduje, czy jeg gjør nastpnej strony, lub skorygowa zapytania zwizane. Monitex. pl Widoczno w wyszukiwarkach etter podstawie rangering SERP stronie na 45 sw kluczowych Zebr...
Read more