У меня есть сервер, который время от времени автоматически обновляет набор привилегированных файлов (например, ключи сертификатов, конфигурации и т.д.). Необходимо сохранить эти файлы в других системах локальной сети. Я примерно знаю, как это сделать, но я не знаю деталей реализации.
Удаленные команды для получения и сохранения файлов (выполняемые на этих других серверах локальной сети) могут восприниматься как статические или очень редко изменяемые и могут быть жестко запрограммированы, что означает, что они идеально подходят для использования с авторизованными ключами SSH, но многие необходимо соблюдать осторожность, так как файлы, которые они получают и хранят, по-прежнему имеют привилегии и сохраняются в пути, иначе только для чтения с правами root. Все задействованные системы - FreeBSD (+ одна OpenBSD).
Я визуализирую такой процесс:
- Сгенерируйте пару ключей с помощью
ssh-keygen
, подходящую для локального SSH (не нужно работать с какой-либо общедоступной сетью или другими системами или функциями). - Создайте привилегированную учетную запись
PRIV_USER
на всех системах, у которых нет доступа вообще, кроме как через sshd (обычно требуются либо привилегии su, которые должны быть безопасными для фиксированного сценария, либо минимальный доступ для записи в определенные жестко запрограммированные местоположения, обычно читаемые / записываемые только для пользователя root, поскольку для этого необходимо сохранить полученные файлы). - Настройте раздел Authorized Keys в sshd на всех других системах, который при подключении как
PRIV_USER
автоматически получает tar-архив файлов и распаковывает их в локальную файловую систему, а затем отключается. - В отправляющей системе, когда файлы должны быть обновлены удаленно, запустите короткий скрипт, который создает архив tar из файлов для отправки, а затем подключается к удаленной системе (системам) по очереди как
PRIV_USER
, отправляет файлы через SSH , отмечает успех / неудачу в консоли и выходит.
Я хотел бы избежать нарушения безопасности, получая их неправильно, и я ранее не использовал для этой цели Авторизованные ключи и не должен был генерировать свои собственные внутренние пары ключей для подобных целей, а также не создавал ограниченные привилегированные учетные записи. Так что я могу сделать это немного неправильно.
Какие правильные команды я должен использовать для минимальной базовой "не испорченной" реализации этой функции? :)