Как настроить Ubuntu для резервного копирования без входа в систему для SSH?

Question

Я настраиваю Аманду для резервного копирования небольшой сети серверов и рабочих столов Ubuntu 16.04. Допустим, U1 является резервным сервером, а U2 - клиентом. У каждого есть учетная запись с именем "backup" без оболочки и пароля (по умолчанию создается в Ubuntu). Я хочу сделать backup@U1 на SSH для backup@U2 с использованием ключей, а не паролей. Насколько я понимаю, это более безопасно, если резервная копия не имеет логина или пароля, но доступ к ней возможен только с помощью ключей ssh.

Я сгенерировал ключи SSH и скопировал открытый ключ U1 в домашний каталог резервной копии U2 /var/backups/.ssh/authorized_keys (с резервной копией в качестве владельца). Я также скопировал ключ хоста U2 в U1 /var/backups/.ssh/known_hosts . Когда я пытаюсь SSH от U1 до U2

sudo -u backup ssh -i /etc/amanda/MyConfig/ssh-key U2.example.com

я получил

This account is currently not available.

Я могу использовать ssh из своей учетной записи на U1 в другую учетную запись на U2, поэтому я знаю, что ssh работает между двумя компьютерами. Из сообщения я предполагаю, что проблема заключается в отсутствии пароля / логина на резервной учетной записи. Как я могу настроить это безопасно, чтобы Аманда могла использовать ssh для клиентов для резервного копирования сети?

Answer 1

Создайте пользователя, заблокируйте учетную запись, добавьте ключи SSH, и все готово. Если вы заблокируете пароль учетной записи, ключи SSH по-прежнему будут работать.

Вы должны по крайней мере иметь имя пользователя на удаленной системе, чтобы разрешить вход в систему. Но это не значит, что у пользователя должен быть доступ к паролю. Итак, если вы хотите сделать это, давайте предположим, что ваше имя пользователя для backup копирования является резервным ; обратите внимание, что это плохое имя пользователя, так как оно очень распространено, поэтому придумайте восьмибуквенную комбинацию, которая подойдет вам. В любом случае, создайте пользователя следующим образом:

sudo adduser backup

Хорошо, теперь просто перейдите к обычной куче вопросов, которые вы получаете при запуске adduser включая установку пароля.

Затем, когда этот пользователь создан, просто сделайте это, чтобы заблокировать учетную запись:

sudo passwd -l backup

Теперь, если вы настроите ключи SSH под учетной записью этого пользователя, вы сможете войти через SSH, но не через пароль.