rsnapshot を使用して、ローカル コンピューターと 2 台のリモート マシンをポータブル ストレージ デバイスにバックアップしたいと思います。計画では、rsnaphotローカル マシンで を使用し、backupリモート マシンにユーザーを作成し、ローカル ルートがbackupSSH 公開キーを介してアカウントにアクセスできるようにしました。ルート ログインを有効にしたくありませんでした。これはセキュリティ機能かもしれないと思ったからです。
そこで問題が始まります。リモート バックアップ ユーザーは、可能な限り読み取り権限を持つ必要があります。どうすればこれを実現できるでしょうか。このユーザーを既存のすべてのグループに追加すれば、グループ読み取り権限を持つすべてのファイルを読み取ることができます。ただし、この方法では、このユーザーはそれらのファイルへの書き込み、削除も実行できます。または、すべてのファイルのグループを などに変更することもできますbackupが、もちろんこれはあまりにも侵入的であり、非常に非常識です。
ローカル ルートの公開キーをリモート ルート アカウントにコピーし、ルート ログインを有効にするのが最も簡単な方法だと思います。そうすべきでしょうか?
これはどのように正しく行われるのでしょうか?
答え1
http://www.rsnapshot.org/howto/using-rsnapshot-and-ssh.html (ウェブアーカイブ)大いに役立ちました。最終的には、rootリモート マシンで使用し、ローカル マシンでも (もちろん経由してsudo) root を使用することにしました。
アイデアとしては、複数のキーを用意し、特定のコマンドにキーを制限することです。たとえば、私はリモートホストを、rootログインを許可しないものの、公開キーで認証された場合は特定のコマンド(私の場合はrsyncだと思いますが、validate-rsyncリンク先のドキュメントで提案されているスクリプトをあまり考えずに使用したことを認めざるを得ません)を実行できるように設定しました。そのため、誰かが持っていたローカルrootアカウントにアクセスできませんが、直接ログインできませんでした (はい、破損したファイルなどを rsync して、破損させた可能性もありallowed_keysます)。
現時点では、これが使いやすさとセキュリティの間の最良のトレードオフであると思います。