У нас есть рабочая станция для обработки данных, которой пользуются несколько пользователей. Я хотел бы настроить сценарий на этой машине для обработки моих данных, а затем скопировать их обратно на мою личную машину.
Я недавно узнал об аутентификации с открытым ключом ssh, поэтому моей первой мыслью было просто добавить открытый ключ этой машины в свой authorized_keys файл и добавить scp команду к моему скрипту. Тем не менее, это делает так, что любой на этой машине может просто подключиться к моей машине по ssh, если они знают IP-адрес моей машины. Как правильно настроить такие вещи?
Что вы можете сделать, так это настроить аутентификацию с открытым ключом, идя другим путем; а именно, создайте пару ключей на своем персональном компьютере и добавьте открытый ключ в authorized_keys рабочей станции обработки данных.
Обработка данных будет инициирована отправкой ssh на рабочую станцию DP, запуском команды и последующим копированием ее обратно. Например.,
#!/bin/sh
ssh common@dp /path/to/process_data_script
scp common@dp:/path/to/data /copy/here
Во-первых, у закрытого ключа должны быть разрешения 0600 так что он доступен для чтения только вам (или пользователям root на коробке).
Закрытые ключи обычно содержат парольные фразы, поэтому бездействующие посредники не могут их использовать, но это не работает для сценариев. Один из способов справиться с этой уязвимостью - настроить другую учетную запись, у которой есть ТОЛЬКО доступ и разрешения, необходимые для того, что ей нужно делать.
Наконец, подумайте о том, чтобы сделать это действие наоборот. Попросите вашу доверенную машину получить данные с другой общей машины. Предлагаемое вами направление более уязвимо. Если хотите, вы можете настроить какой-то сценарий сигнала, чтобы удаленная машина могла сказать: «Привет, я закончила, приходите и возьмите это», а ваша локальная машина может запустить задание для выполнения передачи.
Поскольку рабочая станция обработки данных (DPW) не была настроена должным образом для многопользовательского доступа, и вы не планируете это делать, то, возможно, вам больше повезет, выполняя извлечение обработанных данных, а не толкающее их: т.е. вы можете либо иметь ваше задание DPW отправит вам предупреждение по электронной почте, а затем вы вручную SFTP / SCP в DPW и получите обработанные данные, или вы можете использовать rsync для «тупого» извлечения папки DPW с «обработанными данными» в исходную папку на вашем компьютере (с возможностью --remove-sent-files для удаления данных DPW после передачи) периодически, например, каждый час.