Riateche
@Riateche

Ограничение доступа к Amazon S3

Хочу сделать автоматический бэкап БД сервера на Амазон, но так, чтобы в случае взлома сервера испортить бэкап было бы невозможно. То есть создать пользователя, у которого есть разрешение только загружать файлы (при условии, что файлов с тем же именем нет). Можно ли так сделать? Если можно, опишите подробнее последовательность действий.
  • Вопрос задан
  • 3547 просмотров
Пригласить эксперта
Ответы на вопрос 3
@inkvizitor68sl
Linux-сисадмин с 8 летним стажем.
Авторизация по ключу с правом на команду "%upload%", umask 222 для пользователя. Должно хватить, при условии, что рута не поломают. Ну а если поломают рута — тут уже ничего не поможет.
Ответ написан
sledopit
@sledopit
Удалить все, кроме ssh.
Создаете двух пользователей: один для администрирования, второй для копирования. Их можно явно указать в sshd_config (директива AllowUsers).
Ставите rssh, в /etc/rssh.conf расскоментируете allowscp и allowsftp, а у пользователя для копирования меняете шелл на /usr/bin/rssh.
После этого у вас будет то, что вы просите.

ps.
Для полноты эффекта отключаете авторизацию по паролям, ограничиваете как минимум диапазон подключаемых айпишников, через iptables закрываете все порты кроме порта для ssh, который перевешиваете от роботов на любой другой порт выше 1024.
Если уж совсем паранойя мучает, то можно реализовать port knocking (:
Ответ написан
@rPman
-
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы