Hallo,
die Situation: Zwei Directories (die wie der Inhalt root gehören
müssen)auf zwei Rechnern sollen synchron gehalten werden. Hierfür ist
ein rsync-Mechanismus etabliert. Sicherheit wird dadurch hergestellt,
dass der von rsync verwendete Key im /root/.ssh/authorized_keys auf
command="rsync ..." mit den vom client gewählten Optionen festgenagelt
ist.
Diese Optionen ändern sich von Zeit zu Zeit, was jedes Mal zu
schwierig zu debuggenden Fehlern führt, bis man die authorized_keys
files nachgezogen hat. Das nervt.
Deswegen hatte ich die Idee, den rsync-Prozess auf der Serverseite mit
generischen Argumenten zu starten, ihn aber z.B. mit einem Wrapper so
einzuschränken, dass er nur im gewollten Ziel schreiben darf ("schreib
außerhalb Deines Bereiches und Du stirbst"). Interessanterweise
scheint das noch niemand gemacht zu haben, jedenfalls noch nicht so
weit, dass man das Ergebnis hätte paketieren können.
Vielleicht hilft dir rssh weiter, eine restricted shell mit der man Benutzer auf rsync, sftp, scp usw. einschränken kann.
Ich bin nicht sicher ob man die auch mit "command" in der authorized_keys nutzen kann.
100% passen wird rssh wohl nicht, aber evtl. bekommst du sie passend gemacht.