On 2011.12.12 at 12:09:56 +0200, Bogdan wrote: > 2011/12/5 Victor Wagner <[email protected]>: > > Народ, а посоветуйте как попараноидальнее организовать unattended backup > > по rsync over ssh (на самом деле, rsnapshot, конечно). > > > > Что бы такое написать в /root/.ssh/authorized_keys, чтобы минимизировать > > последствия в случае утечки секретного ключа с той машины, которая > > инициирует бэкап? > > [skip] > > Но что-то мою паранойю это не удовлетворяет. Ну во-первых, input > > sanitizing явно недостаточный. Во-вторых, хотелось бы предотвратить не > > только запуск команд, отличных от rsync, но и закачку файлов туда > > посредством rsync. > > Поставить rssh на целевой машине shell'ом для юзера бэкапного, вкурить
Внимание - читающий процесс у бэкапа должен выполняться от рута, если он читает не блочное устройство (как dump), а файловую систему. Потому что иначе не будут забэкаплены те данные, которые не доступны на чтение никому, кроме рута. А использование rsnapshot требует, чтобы инициировала бэкап та машина, где расположен бэкапный носитель. Ну и с chroot тоже все понятно по этому поводу. -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
