rsyncでセキュアにローカル-リモート間のバックアップを行う

Aug 16, 2008   #linux  #rsync  #ssh  :

2008-08-09 – 武蔵の日記id:otuneさんに指摘されたので、もう少しsshについて調べてみた。

sshで接続したクライアントの利用を制限するのはサーバ側のauthorized_keys

ここら辺が参考になる:

ここを読むとauthorized_keysを編集する必要があることがわかる。特に重要なのは

  • command
  • no-pty

の二つの設定に思える(やや自信なし)。no-ptyはmanに

端末の割り当てを禁止します(仮想端末の割り当てが失敗するようになります)。

とある。要はsshでログインしても、端末にアクセスできなくなる。でも、これだとリダイレクトをしてコマンドを実行できてしまうことになる。参考にしたところではこれが例として取り上げられていた:

$ echo “cat .ssh/authorized_keys2” |ssh -i /home/hiroaki/.ssh/auto remotehost.example.com -l hiroaki

これでは制限していることにならないので、commandでクライアントが使えるコマンドを制限することができる。たとえば

no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty,command=”ls -al” ssh-rsa [以下略]

とすると、クライアントは「ls -al」を実行して接続が終わることになる。

とりあえず私は

no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty,command=”ls -al” ssh-rsa [以下略]

と設定しておいた。*1

後はcommandの設定のみ

rsyncは仕組み上、クライアント側で実行したrsyncがサーバ側のrsyncを実行する形式をとる。だからサーバ側でどのようにrsyncを実行しているかを調べてcommandを指定してあげればいい。

そのために「-v」スイッチをつけてクライアント側でrsyncを実行する。そうすると、サーバ側でどのようなスイッチをつけてrsyncが実行されているかわかる。私の場合はこんな感じだった:

rsync –server –sender -vlogDtprz . /Users/simoom634/Documents/howm

後はこれはauthorized_keysに反映させるだけ。

結局できあがったauthorized_keys

こんな感じになった:

no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty,command=”rsync –server –sender -vlogDtprz . /Users/simoom634/Documents/howm” ssh-rsa [以下略]

参考にしたサイト

*1:no-port-forwarding, no-X11-forwarding, no-agent-forwardingの意味がいまいち理解できていない…