# ( umask 077 ; tar -cf etc.tar /etc )

# ls -l etc.tar

-rw-------  1 root  wheel  1607680  7 мар 16:07 etc.tar

Круглые скобки помогают оставить значение umask в сеансе пользователя неизменным. При вызове из скрипта они, как правило, не нужны.

Второе требование безопасности относится к учетной записи для входа на удаленный сервер. Поскольку эта запись используется только для копирования файлов, прав пользователя должно быть достаточно, чтобы сохранять файлы в своем домашнем каталоге. Он не должен входить в группу wheel. Лучше всего, если он будет входить в свою собственную группу, или в группу, созданную специально для резервного копирования.

В последующих примерах потребуется различать сервер, с которого производится резервное копирование и сервер, на который сохраняются копии. Назовем первый srv, а второй – backup.

Сначала нужно создать учетную запись на backup. Вручную (vipw) или же с помощью adduser или pw получаем следующее:

backup$ grep "^backup:" /etc/passwd

backup:*:6554:6554:backup:/home/backup:/bin/sh

backup$ grep "^backup:" /etc/group

backup:*:6554:

Идентификаторы пользователя и группы выбраны произвольно, и в вашей системе могут быть другими. Задайте пароль – он потребуется для первоначальной настройки. После пароль не понадобится, так как для автоматизации процесса резервного копирования авторизация по паролю должна быть заменена на авторизацию на основе ключей.

Для настройки применяется программа ssh-keygen. Она генерирует два ключа: приватный и публичный, которые сохраняются в ~/.ssh/id_rsa и ~/.ssh/id_rsa.pub соответственно (если выбраны ключи rsa). Пароль ключа оставьте пустым. Публичный ключ скопируйте на сервер backup в ~backup/.ssh/authorized_keys.

srv# ssh-keygen -t rsa

srv# ssh backup@backup "mkdir -m 700 ~backup/.ssh"

srv# scp ~/.ssh/id_rsa.pub backup@backup:~backup/.ssh/authorized_keys

Теперь, если при входе на backup пароль не запрашивается, беспарольный вход настроен. Пароль для учетной записи backup в /etc/master.passwd необходимо заменить на *.