Як я можу rsync без запрошення пароля, не використовуючи аутентифікацію відкритого ключа?

Мені потрібно виконати rsync, не вказуючи мене на пароль.

На rsyncmanpage я бачив, що він не дозволяє вказати пароль як аргумент командного рядка.
Але я помітив, що це дозволяє вказувати пароль через змінну RSYNC_PASSWORD.

Тому я спробував експортувати змінну, але rsyncпродовжує просити мене пароля.

export RSYNC_PASSWORD="abcdef"
rsync root@1.2.3.4:/abc /def

Що я роблю неправильно?

Зверніть увагу:

• Я розумію, що це погана ідея з точки зору безпеки
• Я повинен використовувати лише rsyncінше програмне забезпечення
• Я не можу використовувати автентифікацію на основі ключів
• Я вже читав багато запитань щодо SE, наприклад:
  як передати пароль-для-rsync-ssh-command @ stackoverflow.com
  rsync-cron-job-with-a-password @ superuser.com
  як встановити -rsync-без-пароля-з-ssh-on-unix-linux @ superuser.com

Іншими словами, мені потрібно, щоб RSYNC_PASSWORDпідхід працював! :-)

Ця змінна середовище паролів, як видається, використовується лише під час використання протоколу rsync:

rsync rsync://username@1.2.3.4:/abc /def

Щоб це працювало, потрібно також запустити rsync як демон ( --daemonваріант), що часто робиться за допомогою inetd.conf.

При використанні цього протоколу abcповинен відповідати цілі, визначеній в /etc/rsyncd.conf. Ім'я користувача повинно бути в auth usersрядку для цієї цілі, а файл пароля повинен бути вказаний з secrets fileопцією.

Саме цей файл секретів містить відображення між іменами користувачів та паролями у такому форматі:

username:password

І саме цей пароль можна вказати, використовуючи змінну середовища RSYNC_PASSWORD.

Якщо rsyncдемон не працює на цільовій машині, і вам не байдуже відкривати паролі всім на локальній машині ( Чому хтось не повинен використовувати паролі в командному рядку? ), Ви можете використовувати sshpass:

 sshpass -p "password" rsync root@1.2.3.4:/abc /def

Зауважте пробіл на початку команди, в bashоболонці це зупинить збереження команди (та пароля) в історії. Я не рекомендую використовувати RSYNC_PASSWORDзмінну, якщо це абсолютно не потрібно (відповідно до попереднього редагування цієї відповіді), я рекомендую придушити зберігання історії або принаймні очистити історію після. Крім того, ви можете використовувати tput resetдля очищення історії свого терміналу.

Ви можете використовувати стандартні посвідчення ssh для входу без пароля. Це обробляється за замовчуванням, якщо у вас є ~/.ssh/id_rsaподібне, але ви також можете жорстко кодувати власний шлях до приватного ключа авторизованого ключа.

Це дозволяє створювати пакетну / сценарійну версію без викриття паролів, а відкритий ключ можна видалити з цільового сервера, якщо приватний ключ коли-небудь буде порушений.

rsync -e"ssh -i /path/to/privateKey" -avR $sourcedir ${ruser}@${rhost}:~/${rdir}/

Ви також можете додати аргументи, як-от -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/nullне примушувати віддалену перевірку ключа хоста. ! Обережність - це відкриває людину в середніх атаках і є загальною поганою практикою!

Дуже корисним для сценаріїв є використання --password-fileпараметра командного рядка.

• Створіть порожній файл під назвою rsync_pass
• написати пароль до цього файлу (нічого більше)
• chmod 600 rsync_pass
• rsync $args --password-file=rsync_pass user@rsynchost::/share localdirectory

Це можна використовувати для сценаріїв і дозволяє бути більш безпечним, ніж просто експорт пароля до системної змінної.