rsnapshot mit ssh ohne Password scheitert

[wired2051]

Ich wollte damit nur sagen, dass du nicht unbedingt ssh brauchst. rsnapshot kann auch auf rsyncd Module zugreifen, ohne ssh zu nutzen.

[Homer] Neiiiin! [/Homer]

Da fummle ich seit Tagen vergeblich an diesem ssh rum und dann geht es so einfach? Herrje.

Würde dann allerdings voraussetzen, dass du auf deinem PC einen rsync Damon mit den entsprechenden Modulen laufen hast.

Nungut, das habe ich offenbar nicht. Es existiert auch kein /etc/rsyncd.conf auf dem PC Leider weiss ich auch nicht mehr, wie ich den Rsync Daemon auf der DS gestartet habe (rsync --daemon auf dem PC reicht scheinbar nicht) aber es ist ja auch schon spät. Aber wenn ich das hinbekomme (Hilfe?) dann kriege ich den Rest auch hin, wie gesagt, ich habe auf der DS auch schon einen Daemon für die 1:1 Backups mit mehreren Modulen, funktioniert wunderbar.

 

[jahlives]

Unter der Bedingung, dass du mit rsnapshot deinen PC auf die DS sichern willst und dazu ssh NICHT benutzen willst: Dann muss auf dem PC der rsyncd laufen, weil rsnapshot immer auf jener Maschine laufen muss, die auch die Daten speichert (auf der DS also) . d.h. in diesem Fall musst du dir keine Gedanken um rsyncd auf der DS machen, du brauchst ihn NUR auf deinem PC
Es gäbe die Möglichkeit rsnapshot auf dem PC laufen zu lassen. Dann könntest du mittels rsync vom PC aus das rsnapshot Archiv auf die DS, wo dann der rsync Daemon laufen würde, sichern. Dieses Vorgehen hat jedoch einen entscheidenden Nachteil: Du musst dann jedes Mal das GANZE Archiv übertragen. Auch wenn nur 1 Bit geändert wurde.

Ich würde trotz aller Mühen aber den Weg via ssh probieren. Das ist wirklich am flexibelsten

 

[wired2051]

Es gäbe die Möglichkeit rsnapshot auf dem PC laufen zu lassen. Dann könntest du mittels rsync vom PC aus das rsnapshot Archiv auf die DS, wo dann der rsync Daemon laufen würde, sichern.

Das verstehe ich nicht: ich kann doch rsnapshot auf der DS starten und wenn rsnapshot auch mit Daemon-Modulen zusammenarbeitet, kann ich doch auch von der DS aus ein Backup der PC-Daten machen...?

Das mit dem SSH bekomme ich offenbar ja nicht hin, mir fehlt eine Schritt für Schritt Anleitung. Warum ich scheinbar der einzige bin, der seine Linux-PC-Daten auf der DS mit rsnapshot speichern will und das mit den existieren Anleitungen nicht hinbekommt, weiss ich auch nicht.

 

[jahlives]

Wenn du von der DS aus ein Backup mittels rsnapshot (ohne SSH) machen willst, dann muss auf dem PC dazu der rsyncd laufen. Es geht nicht anders!

Ich kann dir mal Stichwortartig eine Step-By-Step-Anleitung für rsnapshot via ssh geben:
1. auf dem PC (Server!!) muss der ssh-Daemon laufen
2. auf dem PC muss im Homeverzeichnis des Users, den du für die ssh Verbindung nutzen willst, ein Verzeichnis .ssh (chmod 0700) und darin eine Datei authorized_keys (chmod 0600) liegen
3. Private und Public Key müssen generiert werden
4. Der Private Key muss in ein Verzeichnis auf der DS (Client!!)
5. der STRING des Public Keys muss angepasst werden und dann auf eine Zeile der authorized_keys kopiert werden
6. in der sshd Config des Servers (also dein PC) muss die Konfig angepasst werden

[FONT=monospace]
[/FONT]PubkeyAuthentication yes[FONT=monospace]
[/FONT]AuthorizedKeysFile     .ssh/authorized_keys

7. auf dem Client (also deine DS) muss die rsnapshot Config angepasst werden, damit dem ssh auch der korrekte Private Key übergeben werden kann

#rsnapshot.conf[FONT=monospace]
[/FONT]ssh_args                   -i /path/to/privateKey

Wichtig: Zwischen ssh_args und dem -i-Parameter MUSS ein TAB verwendet werden, sonst motzt rsnapshot!!

Gruss

tobi

p.s. wenn du bei 5) nicht weiterkommst, dann schick mir dochmal den String deines PubKey und ich mach dir dann den String für authorized_keys. Btw: Aus dem PubKey kann man den PrivateKey nicht rekonstruieren, du musst also keine Angst haben wenn du den PubKey hier im Forum postest

 

[wired2051]

VIELEN HERZLICHEN DANK! So eine Anleitung habe ich gebraucht, dann verstehe ich auch halbwegs, was ich da tue...

3. Private und Public Key müssen generiert werden

Ich habe auf dem PC gemacht mit
openssl genrsa -out ./private.key 1024
openssl rsa -in ./private.key -pubout > ./public.key
Nun habe ich auf dem PC in home/user/.ssh
-rw------- 1 user users 0 2010-04-26 14:06 authorized_keys
-rw-r--r-- 1 user users 887 2010-04-26 14:08 private.key
-rw-r--r-- 1 user users 272 2010-04-26 14:08 public.key

4. Der Private Key muss in ein Verzeichnis auf der DS (Client!!)

Wie?

5. der STRING des Public Keys muss angepasst werden und dann auf eine Zeile der authorized_keys kopiert werden

Das mit der einen Zeile würde ich ja hinbekommen aber was ist mit den Zusätzen ssh-rsa und vor allem root@localnet?

-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDgabpAjrFJfCV59rQ+W6cfto0d
7B3iC9D9uOyJJenGjlvMIH9YsyL0ubghQACKcfi27aBhlYgQa6Y5MI4ytq/7mwZ7
/PRfav4iyihdblpe9Gt2gWNrHM5j243+7N5uRU4LHakhqvoxeZh9jk5KscgPea43
wU967DLPdtPu0EJ7ZQIDAQAB
-----END PUBLIC KEY-----

 

[jahlives]

Den PrivateKey kannst du z.B. mittels copy&paste in eine Datei auf der DS einfügen. Das dürfte am schnellsten gehen
Für die Zeile in auth_keys ist es wichtig, dass du als erstes mit ssh-rsa bekannt geben um was für einen Schlüssel es sind handelt. Wenn ich mich recht entsinne, dann musst du das Ende des Schlüssels noch mit einem =-Zeichen markieren. Die Angaben dahinter sind in dem Fall nicht wichtig und eigentlich nur Kommentare, um die einzelnen Schlüssel unterscheiden zu können
In deinem Fall würde ich das mal mit einer solchen Zeile probieren

ssh-rsa MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDgabpAjrFJfC  V59rQ+W6cfto0d7B3iC9D9uOyJJenGjlvMIH9YsyL0ubghQACKcfi27aBhlYgQa6  Y5MI4ytq/7mwZ7/PRfav4iyihdblpe9Gt2gWNrHM5j243+7N5uRU4LHakhqvoxeZh9jk5KscgPea43wU967DLPdtPu0EJ7ZQIDAQAB= user@domain

Achtung: Die Leerzeichen im String müssen weg! Werden leider im Beitrag beim copy&paste irgendwie mit angelegt. Auf jeden Fall darf innerhalb des Strings des Schlüssels kein Leerzeichen vorkommen

 

[wired2051]

Mmmh so ganz funktioniert es noch nicht.

1. kann ich mich nun nicht mehr via ssh auf der DS anmelden, sondern nur noch über Telnet:

ssh user@IP_DER_DS
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
xxx.
Please contact your system administrator.
Add correct host key in /home/user/.ssh/known_hosts to get rid of this message.
Offending key in /home/user/.ssh/known_hosts:2
RSA host key for IP_DER_DS has changed and you have requested strict checking.
Host key verification failed.

/home/user/.ssh/known_hosts auf dem PC sieht so aus:

|1|dUyLaksxS8XdZtAqr4esV/7s5+o=|VH++3pCzyquYKvgOwzK1jk2DJSc= ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA2KU1Mt91yAUm+Zg4C/uqtJ+PQKmw6kIuIpsZMMsYsdpiRTPuXgFxo9JjoZwZtZOM4JMJBx3sSJfV4E+Zd6UjOQBNl0cxj1k1iZJpmHiY0L1FP0VQDxbN2cSYXiUUzFfu2b9+vmPOt+wkVmmVmbJqApbUXPNkcoVmCRucoLQ63AP7lPPgkvGTl/TWcE9ZJwyO4W+384ys6MQMXKdKVI2JAXchqDaE2C40HJbWO089yjgNMHeB67o/1ilWry5rQkUDUrP+krm0E3NdByWRYSCcTEDbh61VemGJ933lP4SRC0VroXhdsPnazFOi1NBkWck7hna+Y2F2+VHmlBoaANuhbw==
|1|4jxn3aSJfsB1SiNurmBDeXc0UwY=|uBKp+1afUbXVz6cguyYLLX64tkc= ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA2KU1Mt91yAUm+Zg4C/uqtJ+PQKmw6kIuIpsZMMsYsdpiRTPuXgFxo9JjoZwZtZOM4JMJBx3sSJfV4E+Zd6UjOQBNl0cxj1k1iZJpmHiY0L1FP0VQDxbN2cSYXiUUzFfu2b9+vmPOt+wkVmmVmbJqApbUXPNkcoVmCRucoLQ63AP7lPPgkvGTl/TWcE9ZJwyO4W+384ys6MQMXKdKVI2JAXchqDaE2C40HJbWO089yjgNMHeB67o/1ilWry5rQkUDUrP+krm0E3NdByWRYSCcTEDbh61VemGJ933lP4SRC0VroXhdsPnazFOi1NBkWck7hna+Y2F2+VHmlBoaANuhbw==

Vermutlich ist da durch die Versuche der letzten Wochen etwas durcheinandergekommen...

2. Wenn ich über Telnet angemeldet als user auf der DS rsnaphot testen will kommen immer Zugriffsprobleme. Kann ich rsnapshot nur als root starten?

3. Wenn ich über Telnet angemeldet als root auf der DS rsnapshot testen will, sieht es erstmal gut aus

DS209> rsnapshot -t hourly
echo 9541 > /opt/var/run/rsnapshot.pid
mv /volume1/Sicherung1/hourly.4/ /volume1/Sicherung1/hourly.5/
mv /volume1/Sicherung1/hourly.3/ /volume1/Sicherung1/hourly.4/
mv /volume1/Sicherung1/hourly.2/ /volume1/Sicherung1/hourly.3/
mv /volume1/Sicherung1/hourly.0/ /volume1/Sicherung1/hourly.1/
/opt/bin/rsync -a --delete --numeric-ids --relative --delete-excluded \
--rsh="/opt/bin/ssh -i /volume2/homes/a-zeller/.ssh/private.key" \
user@IP_DES_PC:/home/user/Daten \
/volume1/Sicherung1/hourly.0/Daten/
touch /volume1/Sicherung1/hourly.0/

scheitert dann aber an der Authentifizierung:

DS209> rsnapshot hourly
The authenticity of host 'IP_DES_PC (IP_DES_PC)' can't be established.
RSA key fingerprint is xxx.
Are you sure you want to continue connecting (yes/no)? no
Host key verification failed.
rsync: connection unexpectedly closed (0 bytes received so far) [Receiver]
rsync error: error in rsync protocol data stream (code 12) at io.c(601) [Receiver=3.0.7]
----------------------------------------------------------------------------
rsnapshot encountered an error! The program was invoked with these options:
/opt/bin/rsnapshot hourly
----------------------------------------------------------------------------
ERROR: /opt/bin/rsync returned 12 while processing user@IP_DES_PC:/home/user/Daten/

Ich rekappituliere also noch einmal:

1. auf dem PC (Server!!) muss der ssh-Daemon laufen
laut Prozesstabelle läuft sshd (Benutzer root) und zweimal ssh-agent (Benutzer user)
2. auf dem PC muss im Homeverzeichnis des Users, den du für die ssh Verbindung nutzen willst, ein Verzeichnis .ssh (chmod 0700) und darin eine Datei authorized_keys (chmod 0600) liegen
ls -l /home/user/.ssh/
-rw------- 1 user users 237 2010-04-26 15:52 authorized_keys
-rw------- 1 user user 1675 2010-04-21 15:09 id_rsa
-rw-r--r-- 1 user user 401 2010-04-21 15:09 id_rsa.pub
-rw-r--r-- 1 user user 884 2010-03-21 12:44 known_hosts
-rw-r--r-- 1 user users 887 2010-04-26 14:08 private.key
-rw-r--r-- 1 user users 272 2010-04-26 14:08 public.key
3. Private und Public Key müssen generiert werden
4. Der Private Key muss in ein Verzeichnis auf der DS (Client!!)
-rw-r--r-- 1 user users 887 Apr 26 15:10 /volume2/homes/user/.ssh/private.key
5. der STRING des Public Keys muss angepasst werden und dann auf eine Zeile der authorized_keys kopiert werden
/home/user/.ssh/authorized_keys enthält nur zwei Leerzeichen: hinter "ssh-rsa" und vor "user@domain".
6. in der sshd Config des Servers (also dein PC) muss die Konfig angepasst werden
/etc/ssh/sshd_config:

# Package generated configuration file
# See the sshd(8) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes

 

[jahlives]

Lösch mal den Inhalt von known_hosts auf dem PC und der DS
rsnapshot sollte sich afaik von jedem User starten lassen.

 

[wired2051]

Lösch mal den Inhalt von known_hosts auf dem PC und der DS

auf dem PC gibt es /home/a-zeller/.ssh/known_hosts auf der DS allerdings nicht, weder in /volume2/homes/user/.ssh/ noch /volume2/homes/admin oder /root

rsnapshot sollte sich afaik von jedem User starten lassen.

Das scheitert dann an Zugriffsrechten div. Logfiles. Beispiel:

DS209> rsnapshot hourly
Could not open logfile /opt/var/log/rsnapshot for writing
Do you have write permission for this file?

 

[jahlives]

Das scheitert dann an Zugriffsrechten div. Logfiles. Beispiel:

Was spricht denn dagegen die Rechte der Logdatei so zu setzen, dass dein user schreiben darf?
Und leere mal die known_hosts auf deinem PC

 

[wired2051]

Ich mache Fortschritte:

DS209> rsnapshot hourly
The authenticity of host 'IP_DES_PC (IP_DES_PC)' can't be established.
RSA key fingerprint is xxx.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'IP_DES_PC' (RSA) to the list of known hosts.
user@IP_DES_PC's password:
rsync: recv_generator: mkdir "/volume1/Sicherung1/hourly.0/Daten/home/user/Daten" failed: No such file or directory (2)
*** Skipping any contents from this failed directory ***
rsync error: some files/attrs were not transferred (see previous errors) (code 23) at main.c(1508) [generator=3.0.7]

Mal schauen, was dieses "failed: No such file or directory (2)" meint...

 

[jahlives]

Teste doch mal zuerst ohne rsync oder rsnapshot nur mittels einer ssh Verbindung. Wenn die grundsätzlich klappt, dann weiter zu rsnapshot.
Wenn ich mir deinen Auszug von der Konsole anschaue, dann wundert es mich warum du ein PW eingeben musstest. Der Witz an einem PrivateKey ist ja gerade, dass du dein PW eben nicht mehr eingeben musst. Irgendwas mit dem ssh und authorized_keys auf dem PC ist noch nicht okay.
Probier doch mal ob du eine reine ssh Verbindung von der DS auf den PC erstellen kannst und dabei weder nach Username noch nach Passwort gefragt wirst

 

[wired2051]

Wenn ich mich als user über Telnet auf der DS anmelde klappt es nicht.

DS209> ssh IP_DES_PC
The authenticity of host 'IP_DES_PC (IP_DES_PC)' can't be established.
RSA key fingerprint is xxx.
Are you sure you want to continue connecting (yes/no)? no
Host key verification failed.
DS209>

Kann es sein, dass home/user/.ssh/authorized_keys auf dem PC doch nicht in Ordnung ist?

ssh-rsa MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDgabpAjrFJfCV59rQ+W6cfto0d7B3iC9D9uOyJJenGjlvMIH9YsyL0ubghQACKcfi27aBhlYgQa6Y5MI4ytq/7mwZ7/PRfav4iyihdblpe9Gt2gWNrHM5j243+7N5uRU4LHakhqvoxeZh9jk5KscgPea43wU967DLPdtPu0EJ7ZQIDAQAB= user@domain

 

[jahlives]

sind jetzt die Leerzeichen in deinem Beispiel nur von dir in den Post eingefügt (vielleicht war's auch die Foren-SW wegen der Länge der Zeile) oder stehen die so in der authorized_keys?

 

[goetz]

Hallo,
gib mal dem ssh den Usernamen mit

ssh user@IP_DES_PC

Gruß Götz

 

[jahlives]

DS209> ssh IP_DES_PC

Sorry habe das erst nach dem Post von goetz gesehen: Wie willst du denn den PrivateKey testen wenn du ihn bei der ssh Verbindung nicht angibst?

ssh -i /path/private.key user@IP_DES_PC

 

[wired2051]

genau genommen sieht home/user/.ssh/authorized_keys so aus

ssh-rsa[lerzeichen]MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDgabpAjrFJfCV59rQ+W6cfto0d7B3iC9D9uOyJJenGjlvMIH9YsyL0ubghQACKcfi27aBhlYgQa6Y5MI4ytq/7mwZ7/PRfav4iyihdblpe9Gt2gWNrHM5j243+7N5uRU4LHakhqvoxeZh9jk5KscgPea43wU967DLPdtPu0EJ7ZQIDAQAB=[leerzeichen]user@domain

 

[jahlives]

Siehst du die Leerzeichen innerhalb des Strings? Ich sehe 3 davon. Drum auch die Frage ob du die eigefügt hast.
Letztendlich ist aber entscheidend was genau in deiner auth_key Datei steht. Schau dir dort mal den String Zeichen für Zeichen an und schau ob da nicht doch irgendwelche Leerzeichen drin sind.
Du hast meinen Einwand auch gesehen dass du den PrivateKey auch angeben musst um ihn testen zu können?

 

[wired2051]

ich habe von der DS (angemeldet mit Telnet als user) "ssh -i /path/private.key user@IP_DES_PC" ausgeführt. Das ist das Ergebnis:

DS209> ssh -i /volume2/homes/user/.ssh/private.key user@IP_DES_PC
The authenticity of host 'IP_DES_PC (IP_DES_PC)' can't be established.
RSA key fingerprint is xxx.
Are you sure you want to continue connecting (yes/no)? no
Host key verification failed.
DS209>

Hätte ich yes sagen sollen?

In der /home/user/.ssh/authorized_keys auf dem PC sind nur zwei Leerzeichen (da wo von mir markiert) der Rest kommt wohl von der Forumssoftware...

 

[jahlives]

auf jeden Fall hättest du mal YES sagen sollen. afaik kommt die Meldung weil dein Client das Zertifikat noch nicht in known hosts hat.