Devo redistribuire internamente dei ceritifcati letsencrypt, tra un 'bastion host' che li gestisce e alcuni server interni che li usano.

Ho quindi predisposto rsyncd così:

[letsencrypt]
comment = Certificati Letsencrypt
path = /etc/letsencrypt
use chroot = no
lock file = /var/lock/rsyncd
read only = yes
list = no
uid = root
gid = ssl-cert
exclude = *
include = archive/vpn.lilliput.linux.it** live/vpn.lilliput.linux.it**
strict modes = yes
hosts allow = 192.168.1.15/32
hosts deny = 0.0.0.0/0
ignore errors = no
ignore nonreadable = yes
transfer logging = no
timeout = 600
refuse options = checksum dry-run

ma NON funziona, nel senso che l'exclude prevale comunque e sempre su
qualsiasi include io metta.

Mi sono letto e riletto la manpage di rsyncd.conf, e mi sembra tutto a
posto.


Cosa o dove sbaglio? Grazie.

--
Giuseppe - E pensare che vivrà solo 33 anni...
Maria - Beh, per essere un palestinese è già tanto! (Ellekappa)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 8 dicembre 2022 07:20:27 UTC, Marco Gaiarin <gaio@lilliput.linux.it> ha scritto:

Devo redistribuire internamente dei ceritifcati letsencrypt, tra un 'bastion >host' che li gestisce e alcuni server interni che li usano.

Ho quindi predisposto rsyncd così:

[letsencrypt]
comment = Certificati Letsencrypt
path = /etc/letsencrypt
use chroot = no
lock file = /var/lock/rsyncd
read only = yes
list = no
uid = root
gid = ssl-cert
exclude = *
include = archive/vpn.lilliput.linux.it** live/vpn.lilliput.linux.it**
strict modes = yes
hosts allow = 192.168.1.15/32
hosts deny = 0.0.0.0/0
ignore errors = no
ignore nonreadable = yes
transfer logging = no
timeout = 600
refuse options = checksum dry-run

ma NON funziona, nel senso che l'exclude prevale comunque e sempre su >qualsiasi include io metta.

Mi sono letto e riletto la manpage di rsyncd.conf, e mi sembra tutto a
posto.

Cosa o dove sbaglio? Grazie.

Te la butto lì. Prova ad invertire di posizione include con exclude. Per logica non dovrebbe essere ma tentar non nuoce.

/paride
--
Inviato dal mio dispositivo Android con K-9 Mail. Perdonate la brevità.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 8 dicembre 2022 09:06:33 CET, Paride Desimone <nospam@inventati.org> ha scritto:

Il 8 dicembre 2022 07:20:27 UTC, Marco Gaiarin <gaio@lilliput.linux.it> ha scritto:

Devo redistribuire internamente dei ceritifcati letsencrypt, tra un 'bastion >>host' che li gestisce e alcuni server interni che

...

Mi sono letto e riletto la manpage di rsyncd.conf, e mi sembra tutto a >>posto.


Cosa o dove sbaglio? Grazie.

Te la butto lì. Prova ad invertire di posizione include con exclude. Per logica non dovrebbe essere ma tentar non nuoce.

/paride

prova a usare solo include o solo exclude, con i qualificatori + e - come da "man rsyncd.conf" ...

rob

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 8 dicembre 2022 10:39:14 CET, Roberto Resoli <roberto@resolutions.it> ha scritto:

Il 8 dicembre 2022 09:06:33 CET, Paride Desimone <nospam@inventati.org> ha scritto:

Il 8 dicembre 2022 07:20:27 UTC, Marco Gaiarin <gaio@lilliput.linux.it> ha scritto:

Devo redistribuire internamente dei ceritifcati letsencrypt, tra un 'bastion >>>host' che li gestisce e alcuni server interni che

...

Mi sono letto e riletto la manpage di rsyncd.conf, e mi sembra tutto a >>>posto.


Cosa o dove sbaglio? Grazie.

Te la butto lì. Prova ad invertire di posizione include con exclude. Per logica non dovrebbe essere ma tentar non nuoce.

/paride

prova a usare solo include o solo exclude, con i qualificatori + e - come da "man rsyncd.conf" ...

... o ancora meglio, la direttiva "filter" ?

rob

(

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Scusate, mi rispondo da solo. Illuminazione miostica:

exclude = *
include = archive/vpn.lilliput.linux.it** live/vpn.lilliput.linux.it**

correto è:

exclude = *
include = archive archive/vpn.lilliput.linux.it** live live/vpn.lilliput.linux.it**

ovvero deve arrivare alle sottocartelle di 'archive' e 'live'.


Scusate, grazie.

--
C'era un tempo in cui l'Italia era sull'orlo di un precipizio.
Ma grazie a Berlusconi abbiamo fatto un passo avanti. (?)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 9 dicembre 2022 11:11:07 CET, Marco Gaiarin <gaio@lilliput.linux.it> ha scritto:

Scusate, mi rispondo da solo. Illuminazione miostica:

exclude = *
include = archive/vpn.lilliput.linux.it** live/vpn.lilliput.linux.it**

correto è:

exclude = *
include = archive archive/vpn.lilliput.linux.it** live live/vpn.lilliput.linux.it**

ovvero deve arrivare alle sottocartelle di 'archive' e 'live'.

Scusate, grazie.

Buono a sapersi, grazie a te

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 09/12/22 11:11, Marco Gaiarin ha scritto:

Scusate, mi rispondo da solo. Illuminazione miostica:

exclude = *
include = archive/vpn.lilliput.linux.it** live/vpn.lilliput.linux.it**

correto è:

exclude = *
include = archive archive/vpn.lilliput.linux.it** live live/vpn.lilliput.linux.it**

ovvero deve arrivare alle sottocartelle di 'archive' e 'live'.

Scusate, grazie.

Grazie a te Marco, non ero nemmeno a conoscenza di rsyncd.conf e
sinceramente non son ben sicuro di aver capito a cosa serva... se lo
imposto e avvio il demone cosa succede? Che le chiamate di rsync da/a
questo server vengono filtrate ulteriormente indipendentemente dai
parametri impostati dalla chiamata rsync? Nulla più? ...sento che mi
sfugge qualcosa, spero siano solo i fumi covid che mi ottenebrano la
mente :-?

Piviul

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Mandi! Piviul
In chel di` si favelave...

Grazie a te Marco, non ero nemmeno a conoscenza di rsyncd.conf e
sinceramente non son ben sicuro di aver capito a cosa serva... se lo

Definisci un 'server rsync', ovvero un 'coso' che può essere configurato per rendere accessibii dei file (e puoi definire le ACL server side: R/W, che permessi, che cartelle; un po' come faresti con FTP per capirsi) a cui poi accedi con un client che supporta il protocollo rsync (quindi, in
particolare, rsync ;-).


Diciamo che sei abituato a usare rsync con ssh come protocollo di trasporto; ecco, ne ha uno suo nativo. ;-)

--
La BBS e' come il mio frigorifero... da tanti anni fa in silenzio un ottimo
lavoro, al punto tale che mi accorgo della sua utilita' solo quando manca la
corrente e tutto quello che contiene diventa inutilizzabile. (E. Margelli)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 12/12/22 22:25, Marco Gaiarin ha scritto:

Mandi! Piviul
In chel di` si favelave...

Grazie a te Marco, non ero nemmeno a conoscenza di rsyncd.conf e
sinceramente non son ben sicuro di aver capito a cosa serva... se lo

Definisci un 'server rsync', ovvero un 'coso' che può essere configurato per rendere accessibii dei file (e puoi definire le ACL server side: R/W, che permessi, che cartelle; un po' come faresti con FTP per capirsi) a cui poi accedi con un client che supporta il protocollo rsync (quindi, in particolare, rsync ;-).

quindi server per blindare un po' eventuali connessioni rsync che un
server ssh possa ricevere per evitare eventuali "danni" che una chiamata
rsync temi possa fare: è giusto? In altre parole anche una volta
impostato /etc/rsyncd.conf poi se non parte una richiesta rsync da un
client nulla accade: giusto?

Grazie mille, come sempre!

Piviul

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Mandi! Piviul
In chel di` si favelave...

quindi server per blindare un po' eventuali connessioni rsync che un
server ssh possa ricevere per evitare eventuali "danni" che una chiamata rsync temi possa fare: è giusto? In altre parole anche una volta
impostato /etc/rsyncd.conf poi se non parte una richiesta rsync da un
client nulla accade: giusto?

Un modo un po' complicato di vederla, ma si.

SSH è 'ubiquo', ma anche se puoi porre dei limiti (chroot, ...) una volta
che sei dentro, sei dentro.

Qui invece definisci server side le policy, e hai molto controllo, lo stesso più o meno di rsync.

--
Mi piaccion le fiabe
raccontane altre (F. Guccini)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 14/12/22 23:06, Marco Gaiarin ha scritto:

Mandi! Piviul
In chel di` si favelave...

quindi server per blindare un po' eventuali connessioni rsync che un
server ssh possa ricevere per evitare eventuali "danni" che una chiamata
rsync temi possa fare: è giusto? In altre parole anche una volta
impostato /etc/rsyncd.conf poi se non parte una richiesta rsync da un
client nulla accade: giusto?

Un modo un po' complicato di vederla, ma si.

SSH è 'ubiquo', ma anche se puoi porre dei limiti (chroot, ...) una volta che sei dentro, sei dentro.

Qui invece definisci server side le policy, e hai molto controllo, lo stesso più o meno di rsync.

...in effetti spesso mi trovo a complicarmi la vita da solo, a
posteriori talvolta me ne accorgo ma non so far di meglio e non so
nemmeno ancora se anche in questo caso ci sono caduto comunque ora ho
capito, mille grazie!

Piviul

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)