Re: rsync over ssh

To: debian-russian@lists.debian.org
Subject: Re: rsync over ssh
From: Bogdan <bogdar@gmail.com>
Date: Mon, 12 Dec 2011 12:09:56 +0200
Message-id: <[🔎] CACz2Q8EowOw2mF21yboiqBOX5fLOcmj=jeus0jEQ7cTFiTgGpg@mail.gmail.com>
In-reply-to: <[🔎] 20111205082423.GA17564@wagner.pp.ru>
References: <[🔎] 20111205082423.GA17564@wagner.pp.ru>

2011/12/5 Victor Wagner <vitus@wagner.pp.ru>:
> Народ, а посоветуйте как попараноидальнее организовать unattended backup
> по rsync over ssh (на самом деле, rsnapshot, конечно).
>
> Что бы такое написать в /root/.ssh/authorized_keys, чтобы минимизировать
> последствия в случае утечки секретного ключа с той машины, которая
> инициирует бэкап?
>
> Пока что мне пришло в голову только
>
> command="/usr/local/sbin/rsynconly" ssh-dsa ....
>
> где /usr/local/sbin/rsynconly имеет вид
>
> #!/bin/sh
> PATH=""
> export $PATH
> case "$SSH_ORIGINAL_COMMAND" in
> *;*)
>        echo "Go away, you yellow earthworm!"
>        exit 1;
>        ;;
> rsync\ *)
>        /usr/bin/$SSH_ORIGINAL_COMMAND
>        ;;
> *)
>        echo "Go away, you yellow earthworm!"
>        exit 1;
>        ;;
> esac
>
> Но что-то мою паранойю это не удовлетворяет. Ну во-первых, input
> sanitizing явно недостаточный. Во-вторых, хотелось бы предотвратить не
> только запуск команд, отличных от rsync, но и закачку файлов туда
> посредством rsync.

Поставить rssh на целевой машине shell'ом для юзера бэкапного, вкурить
мануал и сделать настройки соответсвующие.
В итоге можно запретить юзеру запускать что-то кроме rsync и в случае
крайней паранои - сделать chroot.


-- 
WBR,  Bogdan B. Rudas

Reply to:

Follow-Ups:
- Re: rsync over ssh
  - From: Victor Wagner <vitus@wagner.pp.ru>

References:
- rsync over ssh
  - From: Victor Wagner <vitus@wagner.pp.ru>

Prev by Date: Защита пepсональных данныx физичeских лиц
Next by Date: обмен файлами между дистрами
Previous by thread: Re: rsync over ssh
Next by thread: Re: rsync over ssh
Index(es):
- Date
- Thread