Devo criar um usuário separado para um script de backup que use uma chave ssh sem senha?

Question

Devo criar um usuário separado para um script de backup que use uma chave ssh sem senha?

#1 resposta do (1 votos)

3

Atualmente, tenho um script de backup em execução no cron. Basicamente são alguns comandos rsync juntos.

Para meus logins de shell principais, eu tenho chaves ssh com senhas, mas por causa da natureza automatizada do script, ele usa uma chave sem uma frase secreta. Pelo que entendi, qualquer pessoa que obtiver acesso a essa chave sem senha teria a mesma quantidade de privilégios de acesso que eu usando minha senha com senha.

Então, devo criar um novo usuário que apenas execute o script? Em caso afirmativo, é possível restringir esse usuário apenas a tarefas agendadas ou a determinados comandos?

ssh security linux

por blndcat 17.06.2012 / 18:28

1 resposta

Tags ssh security linux

O que está causando uma tela lado a lado durante a instalação do 12.04 no Emachines EL1200-01e? Duas interfaces DHCP são designadas para dois gateways padrão para o SO

score 1 · Accepted Answer

Você pode restringir o que pode ser feito com uma chave SSH específica, portanto, se você puder restringir a chave ao mínimo, deverá ser razoavelmente seguro usar o mesmo usuário. A opção mais segura é implementar as duas opções, no entanto; -)

A página do sshd tem os detalhes, mas a seguinte linha em ~/.ssh/authorized_keys só permitiria que o comando especificado fosse executado e não permitiria outras operações, como o encaminhamento de porta. Também restringe o acesso a clientes de uma sub-rede IP específica.

command="/usr/local/bin/dobackup",from="1.2.3.0/24",no-pty,no-port-forwarding,no-agent-forwarding,no-X11-forwarding ssh-rsa AAAA...== [email protected]