以下整理 UNIX 系統上面使用 SSH 配合憑證來遠端複製檔案
假設有一台主機叫做 X,多台要被複製檔案的機器是 A, B, C。理論上這種情況下 X 的安全等級應該要高於 A, B, C,不過這並不一定
安全等級的差異牽涉到要由哪台機器去信任哪一台機器
以 A, B, C 去信任 X 為例,作法如下:
在 X 上面用某個帳號產生一組 Private/Public Key,然後把 Public Key 發佈給 A, B, C,要求 A, B, C 去信任這一個 Public Key
更進一步,還能限制這個 Public Key 只能作某項動作…
以下是詳細的作法
[步驟一] 產生 Public/Private Key
先在 X 上面開設一個帳號,例如 backup (或者使用現有的任何一個帳號也可以) 然後使用 ssh-keygen -t dsa 命令產生一組 Private/Public Key,內定會在 .ssh/ 目錄下產生兩個檔案: id_dsa 及 id_dsa.pub (不要設定 passphrase)
由於之後會限制一組 Key 只能作特定一件工作,因此我們再執行一次 ssh-keygen -t dsa 產生另一組 Private/Public Key
記得把 Key 儲存成不同的檔名以供辨識,例如我們可以把 .ssh 目錄下的 Key 更名成:
id_cmd1 id_cmd1.pub => 用來執行命令1
id_cmd2 id_cmd2.pub => 用來執行命令2
[步驟二] 設定信任關係
接下來,我們就可以把 id_cmd1.pub 及 id_cmd2.pub 的內容複製到 A, B, C 上面了
首先在 A 上面,建立特定一個帳號,例如 backup,然後執行 vipw (FreeBSD),把 password 欄位置換成 * 星號:
backup:*:1010:50::0:0:backup user:/home/backup:/bin/sh
這樣的話,這個帳號雖然擁有 shell,但也不能隨意用 password 來登入了,只能從 local 用 su – backup 或從遠端用 ssh public key 來進入使用
然後把 id_cmd1.pub 及 id_cmd2.pub 合成一個檔案,放在/home/backup/.ssh/authorized_keys 中:
ssh-dss AAAAB3NzaC1kc3MAAACBAPWP8FS0iatXx3z7o/alB1pI8a…. backup@X
ssh-dss AAAAB3NzaC1kc3MAAACBALW8J12p4Jebc5sAPDhiokTy2…. backup@X
這樣寫,代表 A 上面的 backup 這個帳號信任這組 public/private key,任何人持有該相對應的 private key,都可以 ssh 進入 backup 在 A 上面的帳號
既然可以 ssh,當然也可以自由使用 scp 來複製檔案了,而且使用任何一組 Key 都可以進行沒有限制的作業,
例如從 X 上面可以用 ssh 登入 A:
ssh -i /home/backup/.ssh/id_cmd1 backup@A
ssh -i /home/backup/.ssh/id_cmd2 backup@A
[步驟三] 限制只允許特定動作
由於 ssh 的權限太大,而我們只是要複製檔案 (scp) 而已,因此我們可以再作一些限制。
改寫 /home/backup/.ssh/authorized_keys,在每個 key 開頭加上特定指令,例如
command=”scp -f /tmp/backup.tgz”,no-port-forwarding,no-pty ssh-dss AAAAB3NzaC1kc3MAAACBAPWP8FS…. backup@X
command=”scp -t /tmp/info.tgz”,no-port-forwarding,no-pty ssh-dss AAAAB3NzaC1kc3MAAACBALW8J12p4J…. backup@X
上面 scp -f 代表 copy 的來源, scp -t 代表 copy 的目的地,目的地也可以是一個目錄,但是要再加上 -d 選項
這樣的話,不管對方下了什麼指令,A 都只會執行前面 command 內的指令,所以…. X 只能對 A 進行下列兩種工作,而且都要指定正確的 Key 才能完成:
scp -i /home/backup/.ssh/id_cmd1 backup@A:/tmp/backup.tgz backup-A.tgz
scp -i /home/backup/.ssh/id_cmd2 data.tgz backup@A:/tmp/info.tgz
上面 scp -i 就是指定該動作要使用的身份,後面接上相對應的 private key 即可
事實上,由於每個 key 只會被對方的機器允許作特定的事情,因此遠方的目錄及檔案名稱甚至可以省略,例如:
scp -i /home/backup/.ssh/id_cmd1 backup@A: backup-A.tgz
scp -i /home/backup/.ssh/id_cmd2 data.tgz backup@A:
測試沒有問題後,把 authorized_keys 同樣複製一份到 B, C 上面就大功告成了
備註: 如果您要大量複製、備份檔案,請參考另外一篇「使用 SSH 配合憑證來遠端備份檔案 (rsync)」