Вопросы о сертификации SSH
У меня есть несколько вопросов о входе в SSH с клиентского компьютера на резервный компьютер.
У меня есть ноутбук (клиент), который должен делать резервные копии на Synology через rsync / SSH. Я много читал об этом в Интернете, но иногда приходится делать это так, а иногда и другим способом. Поэтому я хотел бы прояснить эти вопросы:
На каком компьютере мне нужно создавать ключи (частный / открытый). На клиенте или на сервере резервного копирования?
Какой ключ мне нужно передать на какой сервер?
Я создал пользователя «rsync» на сервере резервного копирования. Я должен загрузить ключ этому пользователю? Ssh-copy-id (скрытый) Я также создаю нового (на клиенте) пользователя для резервного копирования с клиента?
Я читал о защите ключа.
Я хочу, чтобы резервное копирование запускалось автоматически без ввода пароль. Должен ли я вводить пароль при создании ключа или нет?
Должен ли я удалять ключ на клиенте или сервере резервного копирования после загрузки этих ключей? Если да, то где и на клиенте или на сервере резервного копирования?
Нужно ли мне давать разрешения для ключа и папки. Если да, то на каком компьютере клиент или резервная копия?
Следует ли мне делать резервную копию ключей и какой приватный или открытый ключ. На USB-накопитель?
Пара ключей должна быть создана на клиенте, где остается закрытый ключ .
Открытый ключ копируется на сервер, как вы это делали с ssh-copy-id .
Вы можете создать нового пользователя для резервного копирования, но помните, что для этого потребуется иметь, по крайней мере, доступ для чтения ко всем файлам, которые необходимы для резервного копирования, так что, возможно, в любом случае «группа персонала» или «корень».
Закрытый ключ должен быть доступен для чтения только пользователю, которому он принадлежит, например chmod 0600 ~ / .ssh / id_rsa_rsync в качестве пользователя резервного копирования.
Вам не нужно делать резервную копию ключей, если у вас есть доступ к машинам без них, вы можете просто при необходимости создайте новую пару. Но в любом случае это не повредит.
Вы можете создать пару ключей без парольной фразы, чтобы rsync мог использовать ее, не запрашивая ее (или вы можете использовать ssh-agent, чтобы ввести ее один раз и кэшировать его на время сеанса, но для его работы всегда необходимо войти в систему клиента ).
Если вы не устанавливаете парольную фразу, убедитесь, что вы не используете эту пару ключей повторно в другом месте (только для пользователя резервного копирования), и, что еще лучше, что ее нельзя использовать для входа на ваш сервер резервного копирования и получения оболочки, а только для доступа к демону rsync.