selbstablaufender filetrasfer per ftp

[nadja]

ich hab da ein kleines problemchen mit ftp:
es soll per cron-job regelmaessig eine einzige datei per ftp auf einen anderen ftp-server kopiert werden. auf diesem zielrechner ist ein account mit password eingerichtet, genau da muss es hin.
any idea?
nadja

[Jochen]

Wenn's Dich nicht stört, auf dem System, das den Dateitransfer initiiert, eine Datei mit dem Passwort des Zielaccounts im Klartext stehen zu haben, ist es kein Problem.

Erstelle eine Datei ".netrc" im Home-Directory des Users, der den Dateitransfer initiieren soll. Schablone für den Inhalt:
<pre>
machine <zielhost>
login <remote-kennung>
password <passwort>
macdef init
binary
cd <zielverzeichnis>
put <datei>
bye
</pre>

Mittels "machine", "login" und "password" wird das Login automatisiert. Danach wird das Makro "init" ausgeführt, welches durch alle Kommandos von "macdef init" bis zur ersten Leerzeile (oder Ende der .netrc) definiert ist.

Zugriffsrechte sollten natürlich 600 sein. Bedenklich in Sachen Sicherheit sind das Passwort im Klartext in der Datei .netrc und die Übertragung des Passwortes durch ftp im Klartext.

Der Rest mit dem crontab-Eintrag ist Dir ja schon klar. Viel Erfolg!

[max]

ok das das PAsswort irgendwo im Klartext rumsteht läßt sich wohl nicht vermeiden, ausser man geht große Umwege.
Eine andere Möglichkeit ist den Aufruf so zu gestalten:
ftp -in < /home/daten/ftpkommandos.lst

und in der Datei ftpkommandos.lst steht dann sowas:
open ftp.server.de
user deinusername deinpassword
ascii
passive
lcd /home/daten/
cd verz/anderesverzeichnis
put dateiname
bye

hoffe geholfen zu haben.
gruss max

[hjb]

Hi,

ob das Paßwort im Klartext irgendwo auf dem Rechner liegt, ist eigentlich egal, denn es wird ja auch im Klartext über die Leitung geschickt ;-/ Ohne Klartext-Paßwort geht es mit scp. Dazu muß man erst mal SSH einrichten, wie in unserem Artikel beschrieben. Ob das auf dem Zielrechner machbar ist, ist natürlich eine wichtige Frage. scp habe ich aber selbst noch nicht probiert.

Gruß,
hjb

[TS]

Passwort sollte kein Problem sein, wenn du den Account auf der Gegenseite einfach durch ein /bin/false Eintrag statt des Shell Eintrags /bin/bash schützt. Da kann sich dann wenigstens keiner mehr einloggen.
Das Passwort ist also fast wertlos.

Gruß
TS

[max]

natürlich geht das Passwort im Klartext rüber.
Wer Zugang lokal zum Rechner hat, kann mit einen gewissen Potential krimineller Energie, oder Neugier, auch so dran kommen, aber man muss es ja niemanden zu einfach machen.
Klar ist das ein Problem vom Betreiber des FTP-Servers sein Ding dicht zu machen.
Aber wenn jemand mein ftp-passwort kennt, hat derjenige Vollzugriff auf meine Webseite(n)!
Alleine das reicht doch schon.
Deswegen ist das Passwort doch ein Problem....
gruss Max

[killerhippy]

scp von ssh:

syntax:

scp <filename> <user>@<zielrechner>:</verzeichnis></filename>

bringt das gewuenschte ergebnis, nur musst du ssh beibringen, von trusted hosts, d.i. der zielrechner, kein passwort zu verlangen. Dazu musst du natuerlich auf beiden rechnern mal die verbindung mit ssh aufgemacht haben und weiter weiss ich auch nicht, <i>da kommt jetzt wohl der naechste dran, der's weiss, naemlich wie man ssh die passwortabfrage abgewoehnt, habe ich noch nie gemacht</i>.

Nachteil: clear password im script (wie will man das vermeiden???)

Vorteil: gecryptete session schon beim verbindungsaufbau.

[max]

hört sich echt praktisch an....
Dann kann man doch bestimmt auch eine verschlüsselten Mail-Transfer zum Server hinbekommen.
Das zumindestens also das lokale Netz sicher vor Sniffern ist.
Weiss jemand ob es möglich ist einen festen ssh Tunnel zu seinen Server aufzubauen und mail,ftp evt http
dadurch zu würgen?
Stichwort VPN?
Würde mich schon interessieren.
Gruss Max

[Jochen]

Ja, das geht. Einschränkung: Hab's selbst noch nicht gemacht (in ein paar Tagen weiss ich vielleicht schon mehr, aber die Zeit ist immer so knapp...).

Theoretisch geht's so: Auf dem Start-Rechner läuft ein sshd. Der lauscht dann an Port 12345 (beispielsweise). Mit "telnet localhost 12345" öffnet man die Verbindung zu diesem sshd. Der öffnet dann eine sichere Verbindung zum sshd auf dem Zielrechner (wird natürlich vorher festgelegt), der wiederum nimmt die Daten an, entschlüsselt sie lokal und reicht sie dann an den entsprechenden Server weiter.

Irgendwelche Fehler aufgrund mangelnder Praxis bei mir in dem Absatz vorher? Dann korrigiert mich bitte!

[max]

mist hört sich ja gar nicht einfach an.
Ich stelle mir da einen transparenten ssh Server vor.
Die Clients bekommen den, im lokalen Netz als Gateway eingetragen und der leitet dann verschlüsselt zum entsprechenden Gegenstück weiter.
Klar muss dann auf diesen Server neben dem eigentlichen daemon noch der sshd laufen.
Im Endeffekt sollte das Ding so transparent wie ppp sein. Apropos könnte man nicht so eine Art ppp-Tunnel verwenden?
Gibt es ppp mit crypto Kram?
Naja, ich glaube nicht das man für diese Problematik das Rad neu erfinden muss.
Irgendwer hat bestimmt ne Doku geschrieben. <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

[Jochen]

Aber sicher <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">!

Die relevante URL ist <a href="http://www.linuxdoc.org/HOWTO/VPN-HOWTO.html" target="_blank"><!--auto-->http://www.linuxdoc.org/HOWTO/VPN-HOWTO ... <!--auto--> und wie immer ist das HOWTO auch in allen möglichen anderen Formaten zu erhalten. Hab nur einen schnellen Blick reingeworfen, scheint aber genau das richtige zu sein. Ob aber die totale Transparenz erreicht wird - (noch) keine Ahnung.

[max]

danke auch,
werde mal einen Blick reinwerfen-
nicht das ich es brauche, aber man weiss ja nie....<img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">