rootでSSHしたくないときのrsync
こんにちは
webデータ等をsshを利用してデータを転送するとユーザ権限絡みの問題が発生することは多いと思います。
1 2 3 4 5 6 7 8 | [root@aws01 ~]# rsync -avz -e "ssh -i ~/.ssh/aws02.id_rsa" /var/www/html/test001.html test02@192.168.2.84:/var/www/htmlsending incremental file listtest001.htmlrsync: mkstemp "/var/www/html/.test001.html.FG4708" failed: Permission denied (13)sent 99 bytes received 122 bytes 147.33 bytes/sectotal size is 4 speedup is 0.02rsync error: some files/attrs were not transferred (see previous errors) (code 23) at main.c(1178) [sender=3.1.2] |
でもroot ではポリシー的な事情でSSHしたくないってとき、いくつか方法はあると思いますが、今回はrsyncdのPROXYを使う方法を紹介したいと思います。
rsyncd側の設定をぱぱっと書きます。
rootで起動させる必要があります。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 | [root@aws02 ~]# vi /etc/rsyncd.conf[root@aws02 ~]# cat /etc/rsyncd.confuid = rootgid = rootread only = notransfer logging = yeslog file = /var/log/rsyncd/rsyncd.logpid file = /var/run/rsyncd.piduse chroot = no[web]path = /var/www/htmlhosts allow = localhost 192.168.1.0/24hosts deny = *read only = false |
起動させます。
1 | [root@aws02 ~]# systemctl start rsyncd |
ncコマンドを利用できるようにします。
1 2 | [root@aws01 ~]# yum install nc[root@aws02 ~]# yum install nc |
sshconfigでSSHログインできるようにします。
1 2 3 4 5 | [root@aws01 ~]# vi .ssh/configHost aws02 hostname 192.168.2.84 user test02 identityfile ~/.ssh/aws02.id_rsa |
bash_profileにRSYNC_CONNECT_PROG の変数を追加して、
再ログインします。
1 2 | [root@aws01 ~]# vi .bash_profileexport RSYNC_CONNECT_PROG='ssh aws02 nc %H 873' |
環境変数を確認します。
1 2 | [root@aws01 ~]# echo $RSYNC_CONNECT_PROGssh aws02 nc %H 873 |
転送します。
1 2 3 4 | [root@aws01 ~]# rsync -avz /var/www/html/ localhost::websending incremental file list./test001.html |
転送されていることを確認します。
1 2 3 | [root@aws02 ~]# ll /var/www/html/total 0-rw-r--r-- 1 root root 0 Feb 3 07:38 test001.html |
転送されていればOKです。
セキュリティ関連の課題はいろいろあると思いますが、選択肢の1つとして参考になれば幸いです。
