Você está certo de que o login de root sem senha na (s) máquina (s) viva (s) ou na (s) máquina (s) de backup é uma má idéia - se alguém obtiver acesso a um lado, ele terá acesso imediato ao outro, o que pode danificar seu canal dados e backups on-line ao mesmo tempo.
A opção fakeroot deve funcionar bem se os servidores do tipo "para backup" estiverem enviando atualizações para aqueles que armazenam os backups e você só precisa adicionar --fake-super à linha de comando do rsync e verificar se o sistema de arquivos está recebendo end suporta atributos estendidos.
Outra opção é introduzir uma máquina intermediária na qual os servidores ativos e de backup tenham logins de raiz de base de chave. Essas foram as máquinas ao vivo que podem enviar backups para a máquina intermediária com rsync e depois as máquinas de backup podem desativá-los, sem que as máquinas ao vivo ou de backup consigam se conectar umas com as outras , raiz. A máquina intermediária não precisa ser capaz de autenticar com servidores ativos ou de backup. O servidor intermediário só precisa de espaço suficiente para manter as versões mais recentes de tudo (ou seja, os dados armazenados nos servidores de backup, incluindo instantâneos de diferentes momentos, podem ser várias vezes maiores do que o servidor intermediário pode armazenar.
Claro que nem é preciso dizer que, além de proibir o login root baseado em chave entre os servidores, você garante que as senhas root (e outras) também sejam diferentes de máquina para máquina.