Ich habe das folgende Backup-Skript wegen der cryptsetup und mount BEfehle bisher als Crontab von root ausgeführt:
#!/bin/bash
# Backup Daten + Dokumente
cryptsetup luksOpen /dev/disk/by-uuid/411afa4d-5c48-44b7-8e14-a45fd8bb93ba backup --key-file /crypto/backup.key
mount /dev/mapper/backup /mnt/backup
rsync -av --delete --exclude lost+found --exclude Finanz/Cloud --log-file=/home/klaus/logs/rsync.daten.log /mnt/Daten /mnt/backup/backup/Daten.backup
rsync -avx --delete --exclude lost+found --exclude Homepage --log-file=/home/klaus/logs/rsync.dokumente.log /home/klaus/Dokumente /mnt/backup/backup/Dokumente.backup
umount /mnt/backup
cryptsetup luksClose /dev/mapper/backup
echo "Backup wurde durchgeführt"
exit 0
Daraufhin bekam ich in diesem Thread die Anmerkung
Gerry_Ghetto Das ist ja praktisch für den Angreifer. Da hat er eine beschreibbare Datei, die er nach seinem Gutdünken anpassen kann, die dann mit erhöhten Rechten ausgeführt wird.
Was wäre der sicherste Weg, das Skript regelmäßig auszuführen? Die aktuelle Idee ist, die backup-Skripte über
ALL=NOPASSWD:/Pfad/zum/Programm
mit sudo ohne Passwort ausführbar zu machen. Ich bin aber nicht sicher, ob das wirklich sicherer ist.