rsync+ssh 사용시 root 로그인 되지 않게 설정(PermitRootLogin)

rsync + ssh 에 대한 팁은 많다.
그런데, ssh 를 root 로 로그인을 허용해야 하는 방법의 설명이 많다. /etc/ssh/sshd_config 에서

PermitRootLogin yes

로 해야 한다.  그러나 왠지 root 로 허용하는 것은 좀 꺼려지게 된다.
(ssh brute force 공격이 일상화 되어 있기 때문에 더 염려된다.)


root 로 접근은 못하게 하면서,  rsync+ssh 를 쓸 수 없을까?
물론 있다.

PermitRootLogin forced-commands-only

라는 옵션이 있다.

.ssh / authorized_keys  의 public key 에 적어준 명령만 허용하는 옵션이다.

from="192.168.0.1",command="/root/bin/validate-rsync" ssh-dss IEUHFKSJHDOG ....

위 밑줄 친 부분이 추가된 것이다. 딱 보면 감이 올것이다.

from 부분 의 IP 는 허용할 IP주소이다. 이 주소가 제대로 들어가지 않으면..     이런 에러로그를 보게 된다. 허용한 IP가 아니라는 메세지이다.

sshd[21670]: Authentication tried for root with correct key but not from a permitted host (host=backup, ip=192.168.0.1).

from 부분에 IP 를 직접 적어주거나,  /etc/hosts  에 등록해서  host 값을 적어줘도 된다.

from="backup",command="...."

/etc/hosts 에는 다음과 같이 적어준다.

192.168.0.1  backup

도메인을 직접적어주는것은 안되는 듯 하다.


command 부분에 적어준 스크립트를 통해 실행하게 된다.
validate-rsync (이름은 아무거나 상관없음) 의 내용은 다음과 같다.

#!/bin/sh
case "$SSH_ORIGINAL_COMMAND" in
          *\&*)
                   echo "Rejected"
                   ;;
          *\(*)
                   echo "Rejected"
                   ;;
          *\{*)
                   echo "Rejected"
                   ;;
          *\;*)
                   echo "Rejected"
                   ;;
          *\<*)
                   echo "Rejected"
                   ;;
          *\`*)
                   echo "Rejected"
                   ;;
          rsync\ --server*)
                   $SSH_ORIGINAL_COMMAND
                   ;;
          *)
                   echo "Rejected"
                   ;;
esac

파일을 만들고, 실행권한을 준다.




참조문서
http://www.linux.com/archive/feature/113847
http://www.debianhelp.co.uk/rsync.htm
http://troy.jdmz.net/rsync/index.html
https://people.chem.umass.edu/wiki/index.php?title=RSYNC_and_SSH_With_Automated_Login
http://www.iwlearn.net/websitetoolkit/help/how-to/using-rsync-and-ssh

http://zakorea.tistory.com/24
http://bluetech.tistory.com/2