Re: rsync over ssh
On 2011.12.05 at 13:44:37 +0200, Зинчук Анатолий wrote:
> Victor Wagner пишет:
> >Народ, а посоветуйте как попараноидальнее организовать unattended backup
> >по rsync over ssh (на самом деле, rsnapshot, конечно).
> >
> >Что бы такое написать в/root/.ssh/authorized_keys, чтобы минимизировать
> >последствия в случае утечки секретного ключа с той машины, которая
> >инициирует бэкап?
> >
> >Пока что мне пришло в голову только
> >
> >command="/usr/local/sbin/rsynconly" ssh-dsa ....
> я в таких случаях также добавляю
> *from=*"адрес хоста с которого можно юзать ключ"
Увы, в моем случае это нереально. Хотя адрес хоста, с которого можно
юзать ключ, тому хосту, на который надо ходить, известен (сообщен с
использованием dynamic DNS и подтвержден соответствющим ключом),
придумать как это распространить на всякие сервисы, рассчитанные на
статические адреса, мне совершенно неочевидно.
Так например, from= требует указание canonical name хоста, а не
"того что указанное во from имя резолвится в тот IP, откуда реально
пришли".
То есть возможности указать, что forward DNS (благо на том же хосте)
имеет существенно более высокий уровень доверия чем reverse - не
предусмотрено.
Reply to: