On 2011.12.05 at 13:44:37 +0200, Зинчук Анатолий wrote: > Victor Wagner пишет: > >Народ, а посоветуйте как попараноидальнее организовать unattended backup > >по rsync over ssh (на самом деле, rsnapshot, конечно). > > > >Что бы такое написать в/root/.ssh/authorized_keys, чтобы минимизировать > >последствия в случае утечки секретного ключа с той машины, которая > >инициирует бэкап? > > > >Пока что мне пришло в голову только > > > >command="/usr/local/sbin/rsynconly" ssh-dsa .... > я в таких случаях также добавляю > *from=*"адрес хоста с которого можно юзать ключ"
Увы, в моем случае это нереально. Хотя адрес хоста, с которого можно юзать ключ, тому хосту, на который надо ходить, известен (сообщен с использованием dynamic DNS и подтвержден соответствющим ключом), придумать как это распространить на всякие сервисы, рассчитанные на статические адреса, мне совершенно неочевидно. Так например, from= требует указание canonical name хоста, а не "того что указанное во from имя резолвится в тот IP, откуда реально пришли". То есть возможности указать, что forward DNS (благо на том же хосте) имеет существенно более высокий уровень доверия чем reverse - не предусмотрено. -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
