janeden Asked: 2024-09-26 12:51:29 +0800 CST2024-09-26 12:51:29 +0800 CST 2024-09-26 12:51:29 +0800 CST 锁定 rsync 包装脚本的 SSH 访问权限 772 我使用 rsync 包装器脚本来同步或备份不同服务器上的各种目录。该脚本调用(显然),并在服务器上rsync进行一些配置。ln command使用中的参数限制authorized_keys单个密钥的SSH 访问(如此处所rrsync建议)或在服务器上限制用户的访问是不可行的,因为我需要访问(读取或写入)许多不同位置的目录。使用包装器脚本进行评估(如此处所建议)将允许对和进行静态调用,但不能对我的本地脚本创建的所有不同参数进行静态调用。chroot$SSH_ORIGINAL_COMMANDrsynclnrsync 在这种情况下还有其他方法可以锁定访问吗? ssh 1 个回答 Voted Best Answer John Mahowald 2024-09-27T06:02:13+08:002024-09-27T06:02:13+08:00 OpenSSH ForceCommand 是安全的,因为服务器强制执行命令和选项。它不允许远程用户发出一系列不同的命令。例如,您的备份命令是执行一系列带有各种参数的 rsync 和文件相关命令。这与 Ansible 自动化工具的挑战类似,它会生成并运行脚本,因此当允许的命令有限时也会出现问题。 远程预装的包装脚本可以用一个命令处理它。假设您编写了 /usr/local/bin/custombackup,它知道要备份的路径以及将它们存档到哪里。在 authorized_keys 命令中允许该脚本。还可以通过将用户设置为 nologin 来禁用 shell。 但是,您可能有其他场景或备份内容和备份方式的变化。在限制较少的环境中,可以通过扩展脚本以接受选项来解决此问题。但是 ForceCommand 要求使用静态命令行。考虑使用不同的强制命令安装另一个密钥,尽管这看起来很愚蠢。 小心不要过于巧妙地使用环境变量 ${SSH_ORIGINAL_COMMAND}。如果您运行未经清理的原始命令,则可能存在命令注入问题。 如果最终未实施 ForceCommand,您可以采取额外的防御措施。删除备份用户对大多数文件的写权限。使用密码保护私钥,并在机密系统中审核对其的所有访问。审核和记录用户登录,并能够将其与计划的备份相关联。如果怀疑备份 ssh 密钥被泄露,则应轮换所有机密并从头开始创建新的备份。
OpenSSH ForceCommand 是安全的,因为服务器强制执行命令和选项。它不允许远程用户发出一系列不同的命令。例如,您的备份命令是执行一系列带有各种参数的 rsync 和文件相关命令。这与 Ansible 自动化工具的挑战类似,它会生成并运行脚本,因此当允许的命令有限时也会出现问题。
远程预装的包装脚本可以用一个命令处理它。假设您编写了 /usr/local/bin/custombackup,它知道要备份的路径以及将它们存档到哪里。在 authorized_keys 命令中允许该脚本。还可以通过将用户设置为 nologin 来禁用 shell。
但是,您可能有其他场景或备份内容和备份方式的变化。在限制较少的环境中,可以通过扩展脚本以接受选项来解决此问题。但是 ForceCommand 要求使用静态命令行。考虑使用不同的强制命令安装另一个密钥,尽管这看起来很愚蠢。
小心不要过于巧妙地使用环境变量 ${SSH_ORIGINAL_COMMAND}。如果您运行未经清理的原始命令,则可能存在命令注入问题。
如果最终未实施 ForceCommand,您可以采取额外的防御措施。删除备份用户对大多数文件的写权限。使用密码保护私钥,并在机密系统中审核对其的所有访问。审核和记录用户登录,并能够将其与计划的备份相关联。如果怀疑备份 ssh 密钥被泄露,则应轮换所有机密并从头开始创建新的备份。