Rsync sobre SSH e segurança de chave sem senha

0

Eu preciso enviar arquivos de um grupo de servidores para um servidor remoto. Meu plano era usar o rsync via SSH, pois ele atende ao meu requisito de uma conexão segura e a capacidade de excluir da fonte após a transferência bem-sucedida. Eu também posso restringir o firewall para permitir somente IPs que eu confio na porta 22.

Se eu configurar uma tarefa cron para transferir esses arquivos usando o rsync via SSH, presumo que precisaria configurar as chaves SSH para se comunicar. No entanto, qual é o risco de segurança de armazenar chaves públicas em vários servidores? É melhor criar chaves individuais por servidor? Esta conta será usada apenas para transferir arquivos.

Editando para expandir minha rede.

Tenho vários servidores hospedados por empresas de hospedagem de terceiros que têm IPs públicos. Minha rede doméstica tem um IP estático e os servidores ficam atrás de um roteador NAT. Então, não tenho certeza de como posso extrair dados no servidor central dos dispositivos por trás do NAT.

Eu poderia criar um servidor central por trás do NAT que coleta tudo e abre uma porta para fora. Com um firewall que restringe a porta 22 e o IP estático do servidor de banco de dados, acho que isso poderia lidar com possíveis violações de segurança.

    
por linmod77x 11.08.2015 / 17:38

2 respostas

1

  1. Faça o oposto, se puder.
  2. Faça um script no servidor central com todas as ações de rsync e execute-o nesse servidor .
  3. Você manterá todas as teclas de acesso nele. Você pode definir em todo o client / bin / nologin como um shell para diminuir os riscos novamente.
  4. Se um dos clientes cair, todos os outros continuarão trabalhando.
por 11.08.2015 / 18:36
1

Acrescentarei que ao usar o rsync sobre o ssh é sempre uma boa idéia restringir qual comando pode ser executado com uma chave correspondente: mesmo que a chave privada seja roubada no servidor central, somente este comando pode ser executado no grupo. de outros servidores.

Você pode fazer isso com a opção "command = custom_script" no arquivo "authorized_keys".

Apenas use o script "rrsync" como o "comando restritivo", que faz um trabalho perfeito. (/usr/share/doc/rsync/scripts/rrsync.gz no debian-like distrib)

Mais detalhes aqui:

link

link

    
por 19.08.2015 / 12:15