Realizar un tar local y almacenarlo remotamente a través de SSH

Introducción.

Esta es la versión mas simple y menos elaborada que se me ocurre para hacer copias de seguridad esporádicas de archivos locales y almacenarlos en un servidor de archivos remoto.  No permite la facilidad de autenticación con llaves de propósito único como en los artículos anteriores (1 y 2), pero es posible utilizarlo con la autenticación basada en llaves (de propósito general) y la autenticación basada en contraseñas.

En funcionalmente es un tar y scp resumidos en una única ejecución de comandos.

Procedimiento.

Se desea realizar la copia de seguridad de los archivos locales almacenados bajo el directorio /archivos/importantes y almacenarlos en el servidor mis.backups.com bajo la ubicación /u/backups.  El procedimiento es tan sencillo como la única línea que se muestra a continuación.

$ tar zcvf – /archivos/importantes | ssh usuario@mis.backups.com “cat > /u/backups/miArchivoBackup.tgz”

Realizar copias de seguridad remotas con llaves SSH de propósito único (2 – el camino inverso)

Introducción.

Después de encontrar una forma muy interesante de hacer las copias de seguridad mediante el uso de llaves de propósito único mi mente inquieta se ha quedado pensando acerca de la factibilidad de hacer lo mismo pero en sentido contrario y de la posible utilidad para el mismo problema: el método mas simple, seguro y fácil de implementar para hacer las copias de seguridad.

En el artículo anterior se configuró al servidor para que confiara en el cliente que portara el par de llaves adecuado, esta confianza le permitiría al servidor ejecutar un único comando y retornar la información resultante al cliente el cual podría tomar el flujo binario de bytes y crear con él un archivo.  En este caso, cualquiera que tuviera posesión de los archivos de la llave y la passphrase (si las llaves se crearon con ella) podrían ejecutar el comando único, en otras palabras, obtener la copia de seguridad del servidor.  En términos generales esto no debe suceder, no debe ser un riesgo ya que supuestamente las llaves se encuentran bien resguardadas, sin embargo estamos analizando el peor escenario.

Ahora, cómo sería el caso contrario en el que el antes cliente (quien almacena las copias de seguridad) confiara en el servidor (a quien se le va a hacer la copia de seguridad) y recibiera todos los archivos que este le envía y los almacenara en el sistema de archivos.  Es posible implementarlo ?  En caso de comprometerse la pareja de llaves, cuál sería el peor escenario ?

Como lo veo hasta el momento, el atacante estaría posibilitado a subir todos los archivos que quisiera llenando la partición del sistema de archivos (ataque por denegación de servicio – DOS) e interfiriendo con el uso normal del sistema.  Podría además sobreescribir (dependiendo de como se cree el script local) los archivos sobre los cuales cuenta con suficientes permisos.  Estos efectos se minimizarían con el uso de un usuario específico para las copias de seguridad, la asignación de una cuota de disco, la implementación de un buen script en el cliente y un contínuo seguimiento al éxito de las copias de seguridad.  En términos generales es aún mas promisorio que la primera versión (directa).  Vale la pena explorar esta aproximación.

Desde el punto de vista funcional hay una diferencia que debe tenerse en cuenta, la primera aproximación es útil inclusive para realizar las copias de seguridad desde equipos que no siempre están activos o en línea, ya que puede realizarse por demanda; mientras que la segunda aproximación analizada a continuación, requiere que ambos equipos estén en línea al mismo tiempo ya que el procedimiento probablemente se inicie por un proceso cron en el servidor.

Crear la llave de propósito único.

Para la creación de la llave de propósito único se siguen los mismos pasos realizados durante la experimentación con la versión directa, con la diferencia que ahora el servidor es el equipo donde se almacenan las copias de seguridad y el cliente es el equipo que contiene la información a la cual se le desea hacer copia de seguridad.  De esta manera, las llaves (demokey y demokey.pub en el ejemplo) se crearían en el servidor web (por ejemplo) y se crearía el archivo ~/.ssh/authorized_keys2 con el contenido apropiado en el servidor de copias de seguridad.

Crear el script para recibir las copias de seguridad.

Del lado del servidor de copias de seguridad (donde se almacenarán) se crea a manera de ejemplo la siguiente configuración.

Una ruta donde se almacenarán las copias de seguridad.

$ mkdir -p /u/backups/datos

$ chown -R bkpuser /u/backups

$ chmod -R 700 /u/backups

Se crea un script para recibir los archivos con las copias de seguridad y almacenarlos en la ubicación creada anteriormente.

$ vi /u/backups/recibir.sh

# Fecha de creación de la copia de seguridad.
FECHA=`date +%Y%m%d`
# Hora de creación de la copia de seguridad.
HORA=`date +%H%M%S`
# Ubicación donde se almacenan las copias de seguridad.
DIRECTORIO=/u/backups/datos
# Nombre del archivo donde se almacenará la copia de seguridad.
ARCHIVO=”backup-${DATE}-${TIME}.data”

# Almacenar la información de la copia de seguridad.
cat > $DIRECTORIO/$ARCHIVO

# Reportar al cliente el nombre del archivo utilizado.
echo $ARCHIVO

$ chmod +x /u/backups/recibir.sh

Finalmente se configura la llave (authorized_keys2) para que invoque a recibir.sh como su propósito único.

$ vi ~/.ssh/authorized_keys2

(modificar la llave específica)
from=”*.jorgeivanmeza.com,10.20.*” command=”/u/backups/recibir.sh“,no-port-forwarding,no-X11-forwarding,no-agent-forwarding ssh-dss AAAAB3Nza…(mas caracteres)… jimezam@mi-cliente

El modificador from permite limitar desde cuales ubicaciones es posible utilizar la llave privada para acceder a la funcionalidad de las copias de seguridad.  En este caso sólo es posible acceder a través de SSH utilizando esta llave de propósito único desde cualquier equipo del dominio jorgeivanmeza.com o desde cualquier equipo de la subred 10.20.xxx.xxx.

Realizar una copia de seguridad.

Para iniciar una copia de seguridad desde el servidor de aplicaciones (servidor web por ejemplo) sólo es necesario ejecutar el siguiente comando.

$ tar zcvf – /ruta/a/resguardar 2> /dev/null | ssh bkpuser@mi-servidor


backup-20100927-205847.data

En el ejemplo anterior se realizó la copia de seguridad de los directorios bajo /ruta/a/resguardar y se guardó en mi-servidor en un archivo llamado backup-20100927-205847.data.  Esta última información puede resultar útil para guardar el registro de los archivos de copias de seguridad generados.  Otra alternativa mas elegante sería utilizar llaves de propósito único para cada servidor al cual se le va a hacer copia de seguridad de forma que se pueda especificar claramente que archivo corresponde a que servidor.

Realizar copias de seguridad remotas con llaves SSH de propósito único

Introducción.

Es muy común que se deban desarrollar actividades en los servidores así como el subir y descargar archivos necesarios para o producto de estas actividades.  Un caso muy especial de este tipo de necesidades es la realización de copias de seguridad.

Del lado del servidor se acostumbra (si no se opta por una solución mas elaborada) crear scripts (1 y 2) que crean las copias empaquetadas de los archivos los cuales deben ser resguardados.  Generalmente la ejecución de esta tarea se realiza periódica y automáticamente a través de un proceso cron del sistema operativo.  Queda pendiente el problema de transferir esta información desde el servidor hasta el equipo local de manera segura y en lo posible automatizada.

La mejor opción para el transporte de los archivos es utilizar un método seguro basado en SSH, sin embargo el uso de contraseñas entorpece el desarrollo ya que estas dificultan la implementación y se constituyen como un riesgo ya que estas deben estar disponibles de manera legible en el cliente para ejecutar la utilidad de transferencia de archivos (como scp).

Gracias a la flexibilidad del protocolo SSH, es posible obviar la autenticación por contraseñas y utilizar un método basado en llaves, a través del cual se autoriza en el servidor el acceso directo a los usuarios que tengan su llave registrada en él.  De esta forma el usuario puede acceder a los datos de la cuenta y transmitirlos si es necesario.  La llave privada envuelta en esta configuración se cifra con una passphrase para mayor seguridad.  Esto hace que sea necesario introducirla, al menos una vez por sesión, antes de poder realizar satisfactoriamente la autenticación basada en llaves.

Esta situación va en contra de los requerimientos de la automatización ya que sería necesaria la intervención humana para realizar las copias de seguridad, al menos al inicio de esta.  Por suerte es posible eliminar la necesidad de esta passphrase de la llave privada, sin embargo se incurre en un significativo riesgo de seguridad (especialmente en servidores compartidos) ya que quien se apodere de los archivos de la llave, tendrá acceso total a la cuenta del usuario en el servidor remoto.

La solución final a este dilema es la utilización del esquema basado en llaves que he mencionado anteriormente pero utilizando llaves que tengan un fin único y específico, es decir, las llaves no permitirán el acceso total a la cuenta en el servidor sino que permitirán solamente la ejecución de una instrucción específica y previamente determinada, de esta manera no será tan crítica la eliminación de la passphrase.

Crear la llave de propósito único.

Generar la pareja de llaves.

$ ssh-keygen -t dsa -f ~/.ssh/demokey

Generating public/private dsa key pair.
Enter passphrase (empty for no passphrase):      [ENTER]   [1]
Enter same passphrase again:                     [ENTER]
[1]
Your identification has been saved in /home/jimezam/.ssh/demokey.
Your public key has been saved in /home/jimezam/.ssh/demokey.pub.
The key fingerprint is:
77:71:75:7e:d2:7a:f3:af:3f:77:cf:2d:77:6a:79:f3 jimezam@jimezam-ultra
The key’s randomart image is:
+–[ DSA 1024]—-+
|                o|
|               +.|
|            . o +|
|             o o.|
|        S . . …|
|         . .   .o|
|               ..|
|              ++O|
|             .oBE|
+—————–+

Especifique una passphrase vacía cuando se le solicite [1] para evitar que se le solicite nuevamente cada vez que vaya a ser utilizada la llave.  Tenga en cuenta el impacto de seguridad que esto pueda traer a su sistema.

Verifique la existencia de los archivos generados los cuales deberán ser similares a los siguientes.

$ ls -l ~/.ssh/

-rw——- 1 jimezam jimezam  668 2010-09-23 00:56 demokey
-rw-r–r– 1 jimezam jimezam  611 2010-09-23 00:56 demokey.pub

Especificar el propósito único de la llave.

Cree una copia de la llave pública recién generada.

$ cp ~/.ssh/demokey.pub tempkey

Esta tendrá un contenido similar al siguiente.

$ cat tempkey

ssh-dss AAAAB3Nza…(mas caracteres)… jimezam@mi-cliente

Modifíquelo de la siguiente manera.

$ vi tempkey

command=echo I’m `/usr/bin/whoami` on `/bin/hostname`,no-port-forwarding,no-X11-forwarding,no-agent-forwarding ssh-dss AAAAB3Nza…(mas caracteres)… jimezam@mi-cliente

Transmitir la llave de propósito único al servidor.

$ cat tempkey | ssh jimezam@mi-servidor ‘sh -c “cat – >>~/.ssh/authorized_keys2″‘

Por seguridad remueva la copia de la llave de propósito único después de haberla transmitido al servidor.

$ rm tempkey

Verificar el funcionamiento de la llave de propósito único.

La prueba se realiza intentando acceder al servidor utilizando SSH y la cuenta del usuario que posee la llave de propósito único.

$ ssh jimezam@mi-servidor

I’m jimezam on mi-servidor
Connection to mi-servidor closed.

Modificar el propósito único de la llave.

Siendo la precondición del artículo la necesidad de realizar copias de seguridad del servidor remoto, se va a modificar el propósito de la llave a crear un tar que contenga los archivos importantes y que será posteriormente transmitido al cliente a través de SSH.  La complejidad de este comando depende de los requerimientos que se tengan, sin embargo el ejemplo a continuación servirá como lineamientos básicos para su elaboración.

Como fácilmente se podrá concluír el comando es referenciado por la sección command al comienzo de la línea de la llave de propósito único.  Este comando puede ser especificado desde el cliente en el contenido de la llave si no se ha transmitido aún al servidor o podrá ser manipulado desde el servidor en el archivo ~/.ssh/authorized_keys2.

$ vi ~/.ssh/authorized_keys2

(modificar la llave específica)
from=”*.jorgeivanmeza.com,10.20.*command=”tar zcf – ~/tmp 2> /dev/null“,no-port-forwarding,no-X11-forwarding,no-agent-forwarding ssh-dss AAAAB3Nza…(mas caracteres)… jimezam@mi-cliente

El modificador from permite limitar desde cuales ubicaciones es posible utilizar la llave privada para acceder a la funcionalidad de las copias de seguridad.  En este caso sólo es posible acceder a través de SSH utilizando esta llave de propósito único desde cualquier equipo del dominio jorgeivanmeza.com o desde cualquier equipo de la subred 10.20.xxx.xxx.

En este caso particular, la llave de propósito único crea un tar de un directorio específico (~/tmp) y envía su flujo de bytes a través de la conexión SSH.

Obtener el archivo de la copia de seguridad.

Del lado del cliente el proceso inverso consiste en abrir una conexión SSH con el servidor utilizando la cuenta a la cual pertenece la llave de propósito único y obtener el archivo enviado a través de un flujo binario.

$ ssh -T -i ~/.ssh/demokey jimezam@mi-servidor | cat > miCopiaDeSeguridad.tgz

El parámetro -i es opcional y permite especificar el archivo con la identidad (llave privada) que se va a utilizar, mientras que el parámetro -T es necesario para transmitir un flujo binario de información.

Finalmente después de la ejecución anterior, en el cliente local se encuentra el archivo miCopiaDeSeguridad.tgz con la copia de seguridad del directorio ~/tmp del servidor.

Agradecimientos.

Gracias a Paul Keck por ayudarme a encontrar la dirección correcta para solucionar el problema del flujo binario de información (-T).

Enlaces.