使用 php 脚本中的 rsync 同步本地和远程文件夹，无需输入密码

如何在 php 脚本中使用 rsync 同步本地和远程文件夹而不提示输入密码？

我已经设置了一个公钥来自动为我的用户登录远程服务器。

所以从 cli 上运行没有任何问题：

rsync -r -a -v -e "ssh -l user" --delete ~/local/file 111.111.11.111:~/remote/;

但是，当我尝试从 PHP 脚本（在本地服务器的网页上）运行相同的代码时：

$c='rsync -r -a -v -e "ssh -l user" --delete ~/local/file 111.111.11.111:~/remote/';
//exec($c,$data);
passthru($c,$data);
print_r($data);

这是我收到的：

255

并且没有文件从本地上传到远程服务器。

在网上搜索我发现这条线索 http://www.mombu.com/php/php/t-calling-rsync-from-php-script-3752852.html:

“您可以在这里使用 BASh 和 Expect shell 代码的组合，但这不是很安全，因为这会自动执行 root 登录。为以下内容生成密钥nobody or apache（无论以哪个用户身份执行 Apache）。或者，安装 phpSuExec、Suhosin 或 suPHP，以便脚本以调用它们的用户身份运行。”

好吧，我不知道如何为以“apache”运行的 PHP“自动 root 登录”。也许让脚本作为实际用户运行是一个更好的主意，我不知道......谢谢！

更新： - 因为这工作正常：

passthru('ssh [email protected] /cdn-cgi/l/email-protection | ls',$data);

返回主目录列表，我可以确定，自动登录没有问题。它必须是从 PHP 脚本运行 rsync 的东西。

• 我还在本地和远程文件夹上设置了 chmod -R 0777 以防万一。但我还没明白。

UPDATE:

所有问题都与以下事实有关：“在命令行上运行时，ssh 使用 $HOME/.ssh/ 上的密钥文件，但在 PHP 下，它是使用 Apache 的用户运行的，因此它可能没有 $HOME；更不用说 $ HOME/.ssh/id_dsa。因此，要么您专门告诉它要使用哪个密钥文件，要么手动创建该目录及其内容。”

虽然我无法获得 rsync，但这就是我将文件从本地传输到远程的方法：

if($con=ssh2_connect('111.111.11.111',22)) echo 'ok!';
if(ssh2_auth_password($con,'apache','xxxxxx')) echo ' ok!';
if(ssh2_scp_send($con,'localfile','/remotefolder',0755)) echo ' ok!';

本地文件需求：0644 远程文件夹需求：0775

我想如果解决方案不是使用相同的用户 bash 运行 php...

@Yzmir Ramirez 给出了这个建议：“我不认为你想“将密钥复制到 apache 可以访问的地方”——这是一种安全违规。最好将脚本更改为以安全用户身份运行，然后设置 .ssh 密钥以在服务器之间进行无密码登录。

这是我必须投入更多时间的事情。如果有人知道如何做到这一点，拜托，这会有很大的帮助。

当我在我们的应用程序中设置同样的东西时，我也遇到了 255 个错误，并且发现它们可能意味着各种各样的事情；这不是一个特别有用的错误代码。事实上，即使是现在，在该解决方案顺利运行一年多之后，我仍然偶尔会看到日志中出现 255。

我还要说的是，让它发挥作用可能会有点痛苦，因为涉及到几个变量。我发现非常有用的一件事是在变量中构造 rsync 命令，然后记录它。这样，我可以获取正在使用的确切 rsync 命令并尝试手动运行它。您甚至可以 su 到 apache 用户并从与脚本相同的目录运行它（或者您的脚本设置为 cwd 的任何内容），这将使其行为与以编程方式运行时相同；这使得调试 rsync 命令变得更加简单，因为您不必处理 Web 服务器。此外，当您手动运行它时，如果由于某种未说明的原因而失败，请添加详细标志以提高错误输出。

下面是我们正在使用的代码，为了安全起见，稍作编辑。请注意，我们的代码实际上支持与本地和远程服务器的 rsync，因为目标是完全可配置的，以允许轻松测试安装。

try {
    if ('' != $config['publishSsh']['to']['remote']):
    //we're syncing with a remote server
        $rsyncToRemote = escapeshellarg($config['publishSsh']['to']['remote']) . ':';
        $rsyncTo = $rsyncToRemote . escapeshellarg($config['publishThemes']['to']['path']);
        $keyFile = $config['publishSsh']['to']['keyfile'];
        $rsyncSshCommand = "-e \"ssh -o 'BatchMode yes' -o 'StrictHostKeyChecking no' -q -i '$keyFile' -c arcfour\"";
    else:
    //we're syncing with the local machine
        $rsyncTo = escapeshellarg($config['publishThemes']['to']['path']);
        $rsyncSshCommand = '';
    endif;

    $log->Message("Apache running as user: " . trim(`whoami`), GLCLogger::level_debug);
    $deployCommand = "
        cd /my/themes/folder/; \
        rsync \
        --verbose \
        --delete \
        --recursive \
        --exclude '.DS_Store' \
        --exclude '.svn/' \
        --log-format='Action: %o %n' \
        --stats \
        $rsyncSshCommand \
        ./ \
        $rsyncTo \
         2>&1
    "; //deployCommand
    $log->Message("Deploying with command: \n" . $deployCommand, GLCLogger::level_debug);
    exec($deployCommand, $rsyncOutputLines, $returnValue);
    $log->Message("rsync status code: $returnValue", GLCLogger::level_debug);
    $log->Message("rsync output: \n" . implode("\n", $rsyncOutputLines), GLCLogger::level_debug);
    if (0 != $returnValue):
        $log->Message("Encountered error while publishing themes: <<<$returnValue>>>");
        throw new Exception('rsync error');
    endif;

    /* ... process output ... */
} catch (Exception $e) {
    /* ... handle errors ... */
}

关于代码，需要注意以下几点：

• 我使用 exec() 以便可以捕获变量中的输出。然后我对其进行解析，以便可以根据添加、修改和删除的文件数量来记录和报告结果。

• 我正在组合 rsync 的标准输出和标准错误流并返回两者。我还捕获并检查返回结果代码。

• 我在调试模式下记录所有内容，包括运行 Apache 的用户、rsync 命令本身以及 rsync 命令的输出。这样，就像我上面提到的那样，只需快速复制和粘贴即可以同一用户身份运行相同的命令，这非常容易。

• 如果您在使用 rsync 命令时遇到问题，可以在不受影响的情况下调整其详细程度并查看日志中的输出。

就我而言，我能够简单地指向适当的密钥文件，而不必过度担心安全性。也就是说，关于如何处理这个问题的一些想法：

• 授予 Apache 访问该文件的权限并不意味着该文件必须位于 Web 目录中；而是意味着该文件必须位于 Web 目录中。您可以将该文件放在 Apache 用户可以访问的任何位置，甚至可以放在另一台网络计算机上。根据您的其他安全层，这可能是也可能不是可接受的妥协。

• 根据您要复制的数据，您也许能够严格锁定另一台计算机上 ssh 用户的权限，这样，如果有人不道德地设法进入那里，他们造成损害的能力就会降到最低。

• 您可以使用 suEXEC 以 Apache 用户以外的用户身份运行脚本，从而允许您将对密钥的访问锁定到其他用户。因此，损害 Apache 用户的人根本无法访问密钥。

我希望这有帮助。