我正在管理几台 CentOS 6.5 机器,它们使用 ldap 和 kerberos 进行用户帐户和身份验证。我想备份 ldap 数据库以及存储在服务器1到服务器2使用 rsnapshot。由于备份将按计划进行,因此我需要能够登录服务器1无需密码,并可复制受保护的数据。据我所知,我有几个选择:
为 root 用户创建 ssh 密钥对
(我不想这样做,因为我已经在使用 kerberos 进行身份验证)
使用带有 keytab 的 kerberos 主体并将其添加到根 .k5login 文件
(有人警告我不要这么做,因为这实际上会给予任何拥有 root 权限的人服务器2在任何其他服务器上拥有 root 访问权限)
使用 keytab 创建新的 kerberos 主体并将其添加到正确的组
(这是我提出的计划)
问题在于 ldap db 和一些其他敏感文件不是组可读的。但是,组和所有者始终是相同的。
-rw------- 1 ldap ldap 40960 Feb 11 10:57 cn.bdb
将这些文件更改为组可读是否存在问题?