Народ, а посоветуйте как попараноидальнее организовать unattended backup
по rsync over ssh (на самом деле, rsnapshot, конечно).
Что бы такое написать в /root/.ssh/authorized_keys, чтобы минимизировать
последствия в случае утечки секретного ключа с той машины, которая
инициирует бэкап?
Пока что мне пришло в голову только
command="/usr/local/sbin/rsynconly" ssh-dsa ....
где /usr/local/sbin/rsynconly имеет вид
#!/bin/sh
PATH=""
export $PATH
case "$SSH_ORIGINAL_COMMAND" in
*;*)
echo "Go away, you yellow earthworm!"
exit 1;
;;
rsync\ *)
/usr/bin/$SSH_ORIGINAL_COMMAND
;;
*)
echo "Go away, you yellow earthworm!"
exit 1;
;;
esac
Но что-то мою паранойю это не удовлетворяет. Ну во-первых, input
sanitizing явно недостаточный. Во-вторых, хотелось бы предотвратить не
только запуск команд, отличных от rsync, но и закачку файлов туда
посредством rsync.
--
To UNSUBSCRIBE, email to [email protected]
with a subject of "unsubscribe". Trouble? Contact [email protected]
Archive: http://lists.debian.org/[email protected]
