Eu quero que um host de backup consiga extrair backups de um host remoto.
O host de backup usa a autenticação de chave ssh para autenticar como um usuário restrito no host remoto; esse usuário está restrito ao comando rsync usando o arquivo authorized_key .
/etc/sudoers permite ao usuário executar o rsync como superusuário.
O host de backup deve logicamente apenas ser capaz de ler arquivos / copiar arquivos do host remoto, não gravar arquivos / copiar arquivos no host remoto, pois pode facilmente comprometer o host remoto sobrescrevendo /etc/passwd ou apenas alterando os arquivos se foram comprometidos.
Como posso conseguir isso? Eu já li sobre rrsync , mas não vi uma opção que permitisse isso.
O sinal -ro de rrsync garante que o rsync seja chamado com a opção --sender , que deve, de acordo com a documentação rrsync , garantir que os arquivos só possam ser lidos - no entanto, não encontrei fonte autoritativa (também conhecida como documentação rsync) que confirma isso. Nos meus testes, foi suficiente para evitar gravações no servidor.
Dê uma olhada em authprogs - Eu estava usando para um cenário bastante semelhante (backuppc via ssh)