我如何允许一台服务器上的用户“postgres”rsync 到另一台服务器？

Question 1

/etc/ssh/sshd_config假设您的从属服务器允许密钥认证，则只有在设置了的情况下才需要更新AllowedUsers，在这种情况下您需要确保postgres在该列表中。

除此之外，只需ssh-keygen（将私钥密码留空），然后~/.ssh/authorized_keys向从属服务器添加目录/文件。的主目录postgres是/var/lib/postgresql，但是如果您su以postgres用户身份执行这些操作，则只需使用~，更不用说您无需执行chown任何操作，因为postgres将在主服务器上拥有生成的 ssh 密钥，并将postgres在从属服务器上拥有创建的目录/文件。

确保在主服务器和从服务器上安全地设置文件权限：

# On master
chmod 700 ~/.ssh
chmod 600 ~/.ssh/id_rsa
chmod 600 ~/.ssh/id_rsa.pub
chmod 600 ~/.ssh/known_hosts  # this one won't exist until you SSH once

# On slave
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys

Answer

/etc/ssh/sshd_config假设您的从属服务器允许密钥认证，则只有在设置了的情况下才需要更新AllowedUsers，在这种情况下您需要确保postgres在该列表中。

除此之外，只需ssh-keygen（将私钥密码留空），然后~/.ssh/authorized_keys向从属服务器添加目录/文件。的主目录postgres是/var/lib/postgresql，但是如果您su以postgres用户身份执行这些操作，则只需使用~，更不用说您无需执行chown任何操作，因为postgres将在主服务器上拥有生成的 ssh 密钥，并将postgres在从属服务器上拥有创建的目录/文件。

确保在主服务器和从服务器上安全地设置文件权限：

# On master
chmod 700 ~/.ssh
chmod 600 ~/.ssh/id_rsa
chmod 600 ~/.ssh/id_rsa.pub
chmod 600 ~/.ssh/known_hosts  # this one won't exist until you SSH once

# On slave
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys

Question 2

您需要在sshd_configserver2 中输入以下内容：

AuthorizedKeysFile  .ssh/authorized_keys

Answer

您需要在sshd_configserver2 中输入以下内容：

AuthorizedKeysFile  .ssh/authorized_keys

Question 3

在系统范围内禁用 selinux 是一个糟糕的解决方案。

最好创建一个允许您执行所需特定操作的策略模块。

这是我在 RHEL6 中所做的：

我清除了审计日志，重新启动了 rsyslogd，并重复了该问题。

接下来，使用 audit2allow 查看人类可读的问题：

# audit2allow -w -a
type=AVC msg=audit(1438288591.000:8525): avc:  denied  { open } for  pid=6063 comm="sshd" path="/var/lib/pgsql/.ssh/authorized_keys" dev="dm-0" ino=920234 scontext=unconfined_u:system_r:sshd_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:postgresql_db_t:s0 tclass=file
        Was caused by:
                Missing type enforcement (TE) allow rule.

                You can use audit2allow to generate a loadable module to allow this access.

type=AVC msg=audit(1438288591.000:8525): avc:  denied  { read } for  pid=6063 comm="sshd" name="authorized_keys" dev="dm-0" ino=920234 scontext=unconfined_u:system_r:sshd_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:postgresql_db_t:s0 tclass=file
        Was caused by:
                Missing type enforcement (TE) allow rule.

                You can use audit2allow to generate a loadable module to allow this access.

type=AVC msg=audit(1438288591.000:8526): avc:  denied  { getattr } for  pid=6063 comm="sshd" path="/var/lib/pgsql/.ssh/authorized_keys" dev="dm-0" ino=920234 scontext=unconfined_u:system_r:sshd_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:postgresql_db_t:s0 tclass=file
        Was caused by:
                Missing type enforcement (TE) allow rule.

                You can use audit2allow to generate a loadable module to allow this access.

确保没有发生额外的拒绝，并且这些都是特定于当前问题的，创建一个 selinux 模块以允许 sshd 读取、打开和 getattr postgres authorized_keys：

# audit2allow -a -M sshd_read_postgres_ssh_authorized_keys

现在安装生成的模块：

# semodule -i sshd_read_postgres_ssh_authorized_keys.pp

我将此模块复制到对等 postgres 服务器并在那里安装。我现在可以以 postgres 的身份在机器之间使用公钥身份验证进行 ssh 连接，并且我仍然处于 selinux 强制执行状态。

Answer

在系统范围内禁用 selinux 是一个糟糕的解决方案。

最好创建一个允许您执行所需特定操作的策略模块。

这是我在 RHEL6 中所做的：

我清除了审计日志，重新启动了 rsyslogd，并重复了该问题。

接下来，使用 audit2allow 查看人类可读的问题：

# audit2allow -w -a
type=AVC msg=audit(1438288591.000:8525): avc:  denied  { open } for  pid=6063 comm="sshd" path="/var/lib/pgsql/.ssh/authorized_keys" dev="dm-0" ino=920234 scontext=unconfined_u:system_r:sshd_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:postgresql_db_t:s0 tclass=file
        Was caused by:
                Missing type enforcement (TE) allow rule.

                You can use audit2allow to generate a loadable module to allow this access.

type=AVC msg=audit(1438288591.000:8525): avc:  denied  { read } for  pid=6063 comm="sshd" name="authorized_keys" dev="dm-0" ino=920234 scontext=unconfined_u:system_r:sshd_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:postgresql_db_t:s0 tclass=file
        Was caused by:
                Missing type enforcement (TE) allow rule.

                You can use audit2allow to generate a loadable module to allow this access.

type=AVC msg=audit(1438288591.000:8526): avc:  denied  { getattr } for  pid=6063 comm="sshd" path="/var/lib/pgsql/.ssh/authorized_keys" dev="dm-0" ino=920234 scontext=unconfined_u:system_r:sshd_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:postgresql_db_t:s0 tclass=file
        Was caused by:
                Missing type enforcement (TE) allow rule.

                You can use audit2allow to generate a loadable module to allow this access.

确保没有发生额外的拒绝，并且这些都是特定于当前问题的，创建一个 selinux 模块以允许 sshd 读取、打开和 getattr postgres authorized_keys：

# audit2allow -a -M sshd_read_postgres_ssh_authorized_keys

现在安装生成的模块：

# semodule -i sshd_read_postgres_ssh_authorized_keys.pp

我将此模块复制到对等 postgres 服务器并在那里安装。我现在可以以 postgres 的身份在机器之间使用公钥身份验证进行 ssh 连接，并且我仍然处于 selinux 强制执行状态。

Question 4

我发现 Gregory 的答案只对我有用，尽管它为我指明了正确的方向。我发现需要一些规则/策略，并且只能按特定顺序生成。

由于该ssh-copy-id命令仅在另一端有密码时才有效，因此您需要scp获取公钥并相应地调整用户和权限。这样就无需创建密码，并且一个可能的接入点保持关闭。

创建一个 postgres 用户密钥并允许它通过 ssh 进入自身，但如果您将该密钥携带到另一台服务器，它也可以工作。

# su postgres
$ cd
$ ssh-keygen # [enter....] * 
$ cd .ssh/
$ cp id_rsa.pub authorized_keys
$ chmod 0600 authorized_keys

每个错误都需要在生成规则之前发生，因此在添加每个策略之后，只需在密码提示时输入即可再次尝试 ssh。

$ ssh [email protected]

为了简单起见，ssh 进入 self，但它仍然有效。出现错误后：

$ exit
# audit2allow -a -M sshd_open_postgres_ssh_authorized_keys
# semodule -i sshd_open_postgres_ssh_authorized_keys.pp
# su postgres
$ ssh [email protected] 
$ exit
# audit2allow -a -M sshd_read_postgres_ssh_authorized_keys
# semodule -i sshd_read_postgres_ssh_authorized_keys.pp
# su postgres
$ ssh [email protected] 
$ exit
# audit2allow -a -M sshd_getattr_postgres_ssh_authorized_keys
# semodule -i sshd_read_postgres_ssh_authorized_keys.pp
# su postgres
$ ssh [email protected]

这次应该可以

注意：'#' 表示 root，但使用 sudo，我这样写是为了方便，而不是为了表示最佳实践

Answer