给 rsync 客户端设置公开的来宾账户是否安全?

2022-05-02 19:34:07 +08:00
 pennai
如果客户端执行 rsync 命令,远程地址使用 ssh://guest@host//这种形式,远程无条件接受客户端的公钥,使得任何用户能够 ssh 登录 guest 账户,在 guest 不是 sudoer 的前提下这种做法是否安全?如果不安全,请问有什么其他更好的办法吗?提前谢谢!
1070 次点击
所在节点    问与答
14 条回复
wd
2022-05-02 19:49:59 +08:00
限制这个用户的 login shell
pennai
2022-05-02 19:53:11 +08:00
@wd 明白,谢谢!
pennai
2022-05-02 20:20:55 +08:00
@wd 老哥,限制 login shell 意思是不许登录还是限制 tty ? nologin 的话 ssh 不也没法连接了
wd
2022-05-02 20:25:57 +08:00
@pennai 你的需求不是 rsync 可以,不能 ssh 登录么?
pennai
2022-05-02 20:52:19 +08:00
@wd 是打算 rsync 使用 ssh 通道传输的,不是服务端跑 rsync server 的方式
felixcode
2022-05-02 23:09:11 +08:00
不知道会不会被用来做 ssh 转发,最好关掉转发。
wd
2022-05-03 05:56:58 +08:00
@pennai 你试过了吗?这样不能 rsync 了吗
pennai
2022-05-04 10:05:58 +08:00
@wd 是的,nologin 或者 /bin/false (更严格)都是不能用 ssh 协议的,自然 rsync 不行。只能用 rsync server ,但这种方式没有加密。
wd
2022-05-04 12:17:11 +08:00
@pennai https://lxadm.com/Secure_rsync_over_SSH_without_shell_access
pennai
2022-05-04 15:38:00 +08:00
@wd 学到了,感谢!
wd
2022-05-04 17:18:57 +08:00
@pennai 另外 我记得 rsync server 也可以设置密码的
pennai
2022-05-04 20:09:21 +08:00
这种方式思考过,客户端拿到密码之后的行为是不可控的(因为我要提供给任何客户端服务,并非自用
julyclyde
2022-05-05 13:25:06 +08:00
即使“只允许 rsync”也依然是不太可控的
我建议考虑一下别的方法
pennai
2022-05-05 14:59:03 +08:00
@julyclyde 是的,客户端远程同步路径完全不可控,但 rsync 设计上应该只是自用的,要用它为基础提供对外服务只能自己重写了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/850541

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX