Tôi có nên tạo một người dùng riêng cho tập lệnh sao lưu sử dụng khóa ssh không có cụm mật khẩu không?

3

Tôi hiện đang có một kịch bản sao lưu chạy qua cron. Về cơ bản, nó là một vài lệnh rsync được xâu chuỗi lại với nhau.

Đối với thông tin đăng nhập shell chính của tôi, tôi có các khóa ssh với cụm mật khẩu, nhưng do tính chất tự động của tập lệnh, nó sử dụng một khóa không có cụm mật khẩu. Theo tôi hiểu, bất kỳ ai có quyền truy cập vào khóa không có cụm mật khẩu này sẽ có cùng số lượng quyền truy cập như tôi đăng nhập thông qua khóa của tôi bằng cụm mật khẩu.

Vậy tôi có nên tạo một người dùng mới, chỉ chạy tập lệnh? Nếu vậy, có thể giới hạn người dùng này chỉ các công việc định kỳ hoặc các lệnh nhất định không?

linux  ssh  security 
mèo
nguồn

Câu trả lời:

1

Bạn có thể hạn chế những gì có thể được thực hiện với một khóa SSH cụ thể, vì vậy nếu bạn có thể giới hạn khóa ở mức tối thiểu thì việc sử dụng cùng một người dùng sẽ khá an toàn. Tuy nhiên, tùy chọn an toàn nhất là triển khai cả hai tùy chọn ;-)

Trang chủ sshd có các chi tiết, nhưng dòng sau đây ~/.ssh/authorized_keyssẽ chỉ cho phép lệnh được chỉ định được thực thi và không cho phép các hoạt động khác như chuyển tiếp cổng. Nó cũng hạn chế quyền truy cập vào các máy khách từ một mạng con IP cụ thể.

command="/usr/local/bin/dobackup",from="1.2.3.0/24",no-pty,no-port-forwarding,no-agent-forwarding,no-X11-forwarding ssh-rsa AAAA...== alice@example.com
mgorven
nguồn
Cảm ơn, đó là tuyệt vời, chính xác những gì tôi đang tìm kiếm. Thật ngạc nhiên khi nó không thường được đề cập trong các hướng dẫn thiết lập khóa ssh, đặc biệt là đối với các tác vụ tự động không có cụm mật khẩu.
blndcat
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.