3

В настоящее время у меня есть резервный скрипт, работающий через cron. Это в основном несколько команд rsync, соединенных вместе.

Для входа в основную оболочку у меня есть ssh-ключи с парольными фразами, но из-за автоматической природы скрипта он использует ключ без парольной фразы. Насколько я понимаю, любой, кто получит доступ к этому ключу без пароля, будет иметь такое же количество привилегий доступа, как и я, входящий через мой ключ с парольной фразой.

Так я должен создать нового пользователя, который только запускает скрипт? Если да, то можно ли ограничить этого пользователя только заданиями cron или определенными командами?

1 ответ1

1

Вы можете ограничить то, что можно сделать с конкретным ключом SSH, поэтому, если вы можете ограничить ключ до минимума, то использование этого же пользователя будет достаточно безопасным. Однако самый безопасный вариант - реализовать оба варианта ;-)

Страница man sshd содержит подробности, но следующая строка в ~/.ssh/authorized_keys разрешит выполнение только указанной команды и запретит другие операции, такие как переадресация портов. Это также ограничивает доступ к клиентам из определенной IP-подсети.

command="/usr/local/bin/dobackup",from="1.2.3.0/24",no-pty,no-port-forwarding,no-agent-forwarding,no-X11-forwarding ssh-rsa AAAA...== alice@example.com

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .