给 rsync 客户端设置公开的来宾账户是否安全？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 936 天前的主题，其中的信息可能已经有所发展或是发生改变。

如果客户端执行 rsync 命令，远程地址使用 ssh://guest@host//这种形式，远程无条件接受客户端的公钥，使得任何用户能够 ssh 登录 guest 账户，在 guest 不是 sudoer 的前提下这种做法是否安全？如果不安全，请问有什么其他更好的办法吗？提前谢谢！

14 条回复 • 2022-05-05 14:59:03 +08:00

2022-05-02 19:49:59 +08:00 via iPhone

限制这个用户的 login shell

pennai

2022-05-02 19:53:11 +08:00

@wd 明白，谢谢！

pennai

2022-05-02 20:20:55 +08:00

@wd 老哥，限制 login shell 意思是不许登录还是限制 tty ？ nologin 的话 ssh 不也没法连接了

2022-05-02 20:25:57 +08:00 via iPhone

@pennai 你的需求不是 rsync 可以，不能 ssh 登录么？

pennai

2022-05-02 20:52:19 +08:00

@wd 是打算 rsync 使用 ssh 通道传输的，不是服务端跑 rsync server 的方式

felixcode

2022-05-02 23:09:11 +08:00 via Android

不知道会不会被用来做 ssh 转发，最好关掉转发。

2022-05-03 05:56:58 +08:00 via iPhone

@pennai 你试过了吗？这样不能 rsync 了吗

pennai

2022-05-04 10:05:58 +08:00

@wd 是的，nologin 或者 /bin/false （更严格）都是不能用 ssh 协议的，自然 rsync 不行。只能用 rsync server ，但这种方式没有加密。

2022-05-04 12:17:11 +08:00 via iPhone

pennai

2022-05-04 15:38:00 +08:00

@wd 学到了，感谢！

2022-05-04 17:18:57 +08:00 via iPhone

@pennai 另外我记得 rsync server 也可以设置密码的

pennai

2022-05-04 20:09:21 +08:00

这种方式思考过，客户端拿到密码之后的行为是不可控的（因为我要提供给任何客户端服务，并非自用

julyclyde

2022-05-05 13:25:06 +08:00

即使“只允许 rsync”也依然是不太可控的
我建议考虑一下别的方法

pennai

2022-05-05 14:59:03 +08:00

@julyclyde 是的，客户端远程同步路径完全不可控，但 rsync 设计上应该只是自用的，要用它为基础提供对外服务只能自己重写了