主页 / server / 问题 / 543754
Accepted
Monica For CEO
Asked: 2013-10-05 00:42:51 +0800 CST

如何使用 `rsync` 安全地推送到镜像?

  • 772

rsync --rsh "ssh"用来推镜子。在镜像上设置必要的文件系统权限需要在镜像rsync上以 root 权限运行。但是,镜像文件位于单个层次结构下,我希望rsync只允许访问该层次结构,而不允许访问镜像上的其他任何内容。

我将如何允许rsync设置权限同时限制访问?

是否可能有一些组合rsync --rsh "???"command="???"选项authorized_keys可以解决问题?该rsync命令已经在使用专用键authorized_keys

或者有没有办法rsync以非特权用户身份连接,被监禁,然后获得设置文件系统权限的访问权限?监禁进程很容易,但允许远程rsync获得权限似乎很困难,并且允许被监禁的进程获得任何权限似乎有风险。(当然,现在这个过程有根,任何程度的限制都是一种改进,即使只是为了减轻事故。)

security

3 个回答

  1. 要将远程位置同步到本地位置:

    rsync -avze ssh user@source:/dir destination

    要将本地位置同步到远程位置:

    rsync -avz source -e ssh user@destination:/dir

    从手册页(http://linux.die.net/man/1/rsync):

    -a archive mode; e.g. copies permissions
-v verbose; in case you want to log what gets copied
-z compress during transfer
-e specify the remote shell to use; let's you use ssh

    要让 rsync 在不提示输入密码的情况下工作,您需要通过生成 rsa 密钥并将它们输入到各自的授权密钥中来配置源服务器和目标服务器之间的信任。这是一个很好的教程:

    http://troy.jdmz.net/rsync/index.html

    • 2
  2. Best Answer

    您应该rsync 您的镜像运行,并将您的原始镜像作为源。

    根据您的用例,您应该将其作为cronjob(定期)或sshkey命令(推启动拉,实际上是推)运行。

    • 2

  3. 在我的特殊情况下,解决方案是使用作为应该拥有被镜像文件的用户rsync --rsh "ssh"进行连接,并使用 ssh 配置将该用户 chroot 到适当的层次结构。

    在目标服务器上使用类似这样的配方:

    useradd user
mkdir /home/user/srv/service
chown -R root:root /home/user

Grant user write permission to /srv/service

nano /etc/fstab

/srv/service /home/user/srv/service none bind 0 0

mount /srv/service

nano /etc/ssh/sshd_config

Match User user
ChrootDirectory %h

service ssh reload

nano /home/user/.ssh/authorized_keys

Add public key for remote user.

    最后,从远程系统,作为非特权用户,将数据推送到镜像:

    rsync --archive --rsh "ssh" --compress /srv/service/ user@server:/srv/service/
    • 1

相关问题