rsync使用--password-file無法讀取密鑰文件，需手動輸入密碼？

更新時間：2025年03月22日 09:53:48 作者：cposture

rsync使用--password-file選項指定密鑰文件,密鑰文件中存放?rsync密碼,在第一次使用密鑰文件的時候經(jīng)常遇到文件權限相關問題,錯誤如下：password?file?must?be?owned?by?root?when?running?as?root,<BR>continuing?without?password?file

rsync 可以使用 --password-file 選項指定密鑰文件，密鑰文件中簡單存放 rsync 密碼；在第一次使用密鑰文件的時候經(jīng)常遇到文件權限相關問題；這里總結(jié)一下，我遇到的問題。

問題描述

在開發(fā)環(huán)境下，手動執(zhí)行 python ccmcx_tdw_data_sync.py，執(zhí)行前還確保了 rsync.secret 具體讀寫權限，chmod u+rw rsync.secret，執(zhí)行正常；后面將腳本加入 crontab，

運行報錯：password file must be owned by root when running as root

簡單的處理，讓所有用戶都有權限讀寫：chmod a+rw rsync.secret；運行報錯：password file must not be other-accessible

結(jié)論

password file must be owned by root when running as root
continuing without password file
Password:

password file must be owned by root when running as root：后面檢查發(fā)現(xiàn)，每個用戶都有自己的 crontab，而我是以 root 用戶設置 crontab 任務的，因此執(zhí)行腳本的用戶也是 root，看第一個報錯是因為 file owner 不是 root，chown root rsync.secret 簡單解決；
password file must not be other-accessible：可以看出 rsync 對密鑰文件管理的嚴格，owner 不僅僅要求是 run user，而且讀寫權限需要做收斂，不能被其他用戶讀寫，執(zhí)行 chmod o-rw rsync.secret
從這里可以看出 rsync 對密鑰文件的管理原則：密鑰文件的擁有者只能是運行命令的用戶，且只能由擁有者讀寫，這樣文件就為運行用戶專屬了，其他普通用戶不能通過密鑰文件傳輸文件或者讀寫密鑰文件了
一個題外話：每個用戶都有自己的 crontab，crontab 不在一個配置文件中，運維難以管理，大部分的 crontab 都會由運維統(tǒng)一放在 root 的 crontab 下，除此之外，還可以直接在/etc/crontab文件中添加，不過需要是 root 身份。這個文件的 crontab 與用戶的不太一樣，可以指定運行命令的用戶，這樣的一個好處是：運維方便管理，而且可以指定運行命令的用戶，普通用戶的環(huán)境變量等相關信息不需要對齊到 root。