我想使用 rsnapshot 將我的本地電腦以及兩台遠端電腦備份到便攜式儲存設備。我的計劃是rsnaphot在本地電腦上使用,backup在遠端電腦上建立一個用戶,並讓我的本機 rootbackup透過 ssh 公鑰存取該帳戶。我不想啟用 root 登錄,我認為這可能是一項安全功能。
那麼問題就來了:遠端備份用戶應該能夠讀取盡可能多的內容。我怎樣才能做到這一點?我可以將此使用者新增到每個現有群組中,這樣他就能夠讀取群組可讀的每個檔案。但這樣,該用戶還可以寫入、刪除……這些檔案。或者我可以將每個文件的群組更改為backup或類似的群組,但是當然這太具有侵入性並且非常瘋狂。
將本地 root 的公鑰複製到遠端 root 帳戶並啟用 root 登入將是最簡單的方法,呵呵?我應該這樣做嗎?
如何正確完成此操作?
答案1
http://www.rsnapshot.org/howto/using-rsnapshot-and-ssh.html (網絡檔案)對我幫助很大。我最終root在遠端電腦上使用,並在本機上使用root(當然sudo是透過)。
這個想法是有幾個鍵並將這些鍵限制為某些命令。例如,我以不允許root登入但允許執行某個命令的方式配置了遠端主機(在我的情況下,我認為它是 rsync,我必須承認我只是validate-rsync按照連結文件中的建議使用了腳本,而不考慮太多)如果使用公鑰進行身份驗證。所以即使有人有存取我的本機root帳戶,無法直接登入(是的,他也許可以 rsync 損壞的檔案等,也損壞等等allowed_keys)。
目前,我認為這是可用性和安全性之間的最佳權衡。