Насколько безопасна реализация бекапов?

Question

[Ахмад Захратулаев]

Доброго времени суток.

Копируем бекапы БД в Яндекс диск используя следующий скрипт

curl -k -u my_login:my_password -T $full_file_name $remote_path_full_backup

нас смущало то что в файле логин и пароль введены явно. Поэтому сделали немного иначе

curl -k --netrc-file .netrc -T $full_file_name $remote_path_full_backup

указав в rc файле логин, хост, пароль.

Нас беспокоит вопрос безопасности соединения и передачи данных curl для авторизации.
К примеру если перехватят пакеты, смогут ли распознать логин/пароль или другие стороны.
Подскажите пожалуйста как правильно передавать файлы.

Заранее благодарим.

Comments

[sim3x]

$remote_path_full_backup
https
ftp
?

[Ахмад Захратулаев]

sim3x: https://webdav.yandex.ru/BACKUP/

[sim3x]

Ахмад Захратулаев:
Теоретически хттпс защищает от снифинга - те все ок

Но использовать для такого рода вещей логин / пароль неоправданно
Лучше получите https://tech.yandex.ru/oauth/ токен и используйте его

[Арсланали]

sim3x: При использовании OAuth как будет выглядеть строка соединения в curl?

[dummyman]

Я рекомендую использовать авторизацию SSH-сертификатом.
На клиенте запускается ssh-keygen и в папку ~/.ssh сгенерятся пара ключей.
Проверьте права на папку 700, права на файлы внутри 600.
Берем открытый ключ и включаем одной непрерывной строкой в ~/.ssh/authorized_keys на сервере. Погуглите, возможно, что-то надо включить в /etc/ssh/sshd.conf на сервере.
C помощью curl по ssh бэкапить не получится. Но есть отличный инструмент rsync.
$ man rsync попробуйте. На самом деле займет 15 минут максимум.

Answer 1

[dummyman]

В двух словах рассказал в комментарии к вопросу выше.
А тут более подробно:
https://access.redhat.com/documentation/en-US/Red_...