<p>リモートサーバーとのファイル同期は、システム運用における基本的ながらも重要なタスクです。<code>rsync</code>と<code>SSH</code>の組み合わせは非常に強力ですが、さらに<code>SSHエージェントフォワーディング</code>を適切に活用することで、セキュリティを損なうことなく、より柔軟で効率的な自動同期を実現できます。本稿では、その具体的な実装と運用のポイントについて深掘りします。</p> <h1 class="wp-block-heading">rsyncとSSHエージェントフォワーディングで実現する、セキュアなリモートファイル同期戦略</h1> <h2 class="wp-block-heading">要件と前提</h2> <h3 class="wp-block-heading">要件</h3> <ul class="wp-block-list"> <li>開発環境からステージング環境へ、あるいは踏み台経由で本番環境へ、Webコンテンツなどのファイルを定期的に同期したい。</li> <li>同期元サーバーに秘密鍵を配置せず、手元のマシンから安全に同期処理を起動したい。</li> <li>同期処理は<code>systemd</code>を用いて自動化し、ログを適切に管理したい。</li> <li>処理結果を外部APIへ通知する仕組みも盛り込みたい。</li> </ul> <h3 class="wp-block-heading">前提</h3> <ul class="wp-block-list"> <li>ローカルマシン (同期元) とリモートターゲットサーバー (同期先) が存在し、SSH接続が確立できること。</li> <li>ローカルマシンで<code>ssh-agent</code>が動作し、同期に使用する秘密鍵が<code>ssh-add</code>で追加されていること。</li> <li>リモートターゲットサーバーの<code>~/.ssh/authorized_keys</code>に、当該秘密鍵に対応する公開鍵が登録されていること。</li> <li><code>rsync</code>, <code>ssh</code>, <code>jq</code>, <code>curl</code>, <code>systemd</code>が各環境にインストール済みであること。</li> </ul> <h2 class="wp-block-heading">実装</h2> <h3 class="wp-block-heading">安全なBashスクリプトの作成</h3> <p>一時ファイルやディレクトリを安全に扱い、スクリプトが途中で中断してもクリーンアップされるように工夫します。ここでは、Webコンテンツのディレクトリをリモートサーバーに同期する例を考えます。</p> <pre data-enlighter-language="generic">#!/usr/bin/env bash # set -euo pipefail はスクリプトの堅牢性を高める定番の記述です。 # -e: エラーが発生したら即座に終了。 # -u: 未定義の変数を使用したらエラー。 # -o pipefail: パイプライン中のコマンドが一つでも失敗したら全体を失敗とする。 set -euo pipefail # ============================================================================== # 変数定義 # ============================================================================== # 設定ファイルパス (存在すればここから読み込む) CONFIG_FILE="./sync_config.json" # 同期元ディレクトリ (ローカル) SOURCE_DIR="/var/www/html/mysite/" # 同期先ユーザーとホスト (デフォルト値) REMOTE_USER="webuser" REMOTE_HOST="target.example.com" # 同期先ディレクトリ (リモート) REMOTE_DIR="/var/www/html/mysite/" # 同期完了通知用のAPIエンドポイント (例: Slack Webhook, 監視サービスAPIなど) NOTIFICATION_API_URL="https://example.com/api/notify" # ============================================================================== # 一時ディレクトリの作成とクリーンアップ設定 (trap) # ============================================================================== # mktemp -d で安全な一時ディレクトリを作成します。 TMP_DIR=$(mktemp -d) # trap コマンドでスクリプト終了時に一時ディレクトリを削除するように設定します。 # EXITシグナルはスクリプトが正常終了しても異常終了しても実行されます。 trap 'rm -rf "$TMP_DIR"; echo "一時ディレクトリ $TMP_DIR を削除しました。"' EXIT echo "一時ディレクトリ: $TMP_DIR を作成しました。" # ============================================================================== # 設定ファイルの読み込み (jqの利用例) # ============================================================================== # 設定ファイル (sync_config.json) の内容例: # { # "remote_user": "webuser", # "remote_host": "target.example.com", # "remote_dir": "/var/www/html/mysite/" # } if [ -f "$CONFIG_FILE" ]; then echo "設定ファイル $CONFIG_FILE から情報を読み込みます..." REMOTE_USER=$(jq -r '.remote_user // "'"$REMOTE_USER"'"' "$CONFIG_FILE") REMOTE_HOST=$(jq -r '.remote_host // "'"$REMOTE_HOST"'"' "$CONFIG_FILE") REMOTE_DIR=$(jq -r '.remote_dir // "'"$REMOTE_DIR"'"' "$CONFIG_FILE") else echo "設定ファイル $CONFIG_FILE が見つかりませんでした。デフォルト値を使用します。" fi # ============================================================================== # rsyncによるファイル同期 (SSHエージェントフォワーディング利用) # ============================================================================== echo "rsyncを開始します: $SOURCE_DIR -> $REMOTE_USER@$REMOTE_HOST:$REMOTE_DIR" # -a: アーカイブモード (パーミッション、所有者、タイムスタンプなどを保持) # -z: 転送データを圧縮 # -P: 進捗状況を表示し、部分転送を再開可能にする (--partial --progress の省略形) # --delete-before: 転送前に同期先から余分なファイルを削除 # -e "ssh -A": SSHエージェントフォワーディングを有効にしてSSH接続を使用 # これにより、ローカルのssh-agentが持つ秘密鍵でリモートに接続できます。 # 秘密鍵を同期元サーバーに配置する必要がなくなります。 if rsync -azP --delete-before -e "ssh -A" "$SOURCE_DIR" "$REMOTE_USER@$REMOTE_HOST:$REMOTE_DIR"; then SYNC_STATUS="SUCCESS" echo "rsyncが正常に完了しました。" else SYNC_STATUS="FAILED" echo "rsyncが失敗しました。" >&2 # エラー時はここで終了し、通知処理へ進む fi # ============================================================================== # 同期結果の通知 (curlの利用例 - TLS/再試行/バックオフ) # ============================================================================== echo "同期結果を通知します..." NOTIFICATION_MESSAGE="rsync同期 ($REMOTE_HOST:$REMOTE_DIR) が $SYNC_STATUS しました。" # 通知ペイロードを一時ファイルに書き出す echo "{\"text\": \"$NOTIFICATION_MESSAGE\"}" > "$TMP_DIR/notification_payload.json" # curl を用いた安全な通知処理の例 # --fail: HTTPエラーコードで終了ステータスを非ゼロにする # --retry 5: 失敗時に5回まで再試行 # --retry-delay 3: 最初の再試行まで3秒待機 # --retry-max-time 30: 再試行の合計時間を30秒までに制限 # --connect-timeout 5: 接続確立のタイムアウトを5秒に設定 # --max-time 10: 全体の処理タイムアウトを10秒に設定 # --tls-max 1.2: TLSv1.2以上を要求し、よりセキュアな接続を確保 # --cacert: CA証明書を指定し、サーバー証明書の検証を行う (環境に合わせてパスを調整) # -X POST: POSTリクエスト # -H "Content-Type: application/json": JSON形式のヘッダー指定 # -d @一時ファイル: ファイルからリクエストボディを読み込む if curl --fail \ --retry 5 --retry-delay 3 --retry-max-time 30 \ --connect-timeout 5 --max-time 10 \ --tls-max 1.2 --cacert /etc/ssl/certs/ca-certificates.crt \ -X POST \ -H "Content-Type: application/json" \ -d "@$TMP_DIR/notification_payload.json" \ "$NOTIFICATION_API_URL"; then echo "通知が正常に送信されました。" else echo "通知の送信に失敗しました。" >&2 fi # 同期が失敗した場合、スクリプトも失敗として終了する if [ "$SYNC_STATUS" = "FAILED" ]; then exit 1 fi </pre> <blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow"> <p>Note: <code>SSHエージェントフォワーディング (-A)</code> を使うと、SSH接続先のサーバーからさらに別のサーバーへSSH接続する際に、ローカルの秘密鍵を利用できます。これにより、秘密鍵を同期元サーバーに配置する必要がなくなり、セキュリティ上の大きなメリットがあります。ただし、フォワーディングされたエージェントソケットへのアクセス権を悪用されると、ローカルの秘密鍵が悪用される可能性があるため、信頼できるサーバーでのみ使用すべきです。</p> </blockquote> <h3 class="wp-block-heading">rsync + SSHエージェントフォワーディングのフロー</h3> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["開発マシン/ローカル実行環境"] -->|1. rsync実行| B("SSH Agent: 秘密鍵保持") B -->|2. SSH接続 (ssh -A)| C("踏み台サーバー - オプション") C -->|3. SSH接続 (Agent経由)| D("ターゲットサーバー: 公開鍵認証") D -->|4. rsyncデータ転送| E("ターゲットのファイルシステム") E --5. 同期結果--> A </pre></div> <p>このフローでは、秘密鍵が開発マシンから外に出ることなく、ターゲットサーバーへの認証が確立されます。踏み台サーバーを経由する場合でも、秘密鍵が踏み台サーバーに置かれることはありません。</p> <h3 class="wp-block-heading">root権限の扱いと権限分離</h3> <p><code>rsync</code>でファイルの所有者やパーミッションを正確に同期したい場合、同期先で<code>root</code>権限が必要になることがあります。しかし、スクリプト全体を<code>root</code>で実行するのはセキュリティリスクが高いです。</p> <p>推奨されるアプローチは以下の通りです。 1. <strong>最小権限ユーザーの利用</strong>: <code>rsync</code>を実行するための専用ユーザーを作成し、そのユーザーが必要な同期先ディレクトリへの書き込み権限のみを持つように設定します。本稿の例では、<code>webuser</code>がターゲットサーバーの<code>REMOTE_DIR</code>に書き込み権限を持っていることを前提としています。 2. <strong><code>sudo</code>の利用</strong>: <code>webuser</code>のような一般ユーザーでスクリプトを実行し、<code>rsync</code>コマンドのみ<code>sudo</code>を使って<code>root</code>として実行する方法も考えられます。この場合、<code>/etc/sudoers.d/</code> 以下に設定ファイルを作成し、<code>webuser</code>が特定の<code>rsync</code>コマンドをパスワードなしで実行できるように厳密に定義する必要があります。これは非常に強力ですが、<code>rsync</code>の引数を固定する必要があり、柔軟性が犠牲になる可能性があります。</p> <h2 class="wp-block-heading">検証</h2> <ol class="wp-block-list"> <li><strong>SSHエージェントの確認</strong>: ローカルマシンで<code>ssh-add -l</code>を実行し、目的の秘密鍵がリストされていることを確認します。</li> <li><strong>手動同期の試行</strong>: 作成したスクリプトに実行権限を付与し、手動で実行して同期が正常に完了するか確認します。 <pre data-enlighter-language="generic">chmod +x sync_script.sh ./sync_script.sh </pre> 同期元・同期先のディレクトリ内容が一致しているか、ファイル所有者やパーミッションが期待通りかを確認します。</li> <li><strong>SSHエージェントフォワーディングの確認</strong>: <code>ssh -A webuser@target.example.com</code>で接続後、<code>echo "$SSH_AUTH_SOCK"</code>を実行し、ソケットパスが表示されることを確認します。さらに、そのサーバーから別のサーバーへSSH接続を試み、パスワードなしで接続できるか確認すると、フォワーディングが機能しているかより明確に分かります。</li> <li><strong>通知の確認</strong>: 設定した通知APIに期待通りの通知が届いているか確認します。</li> </ol> <h2 class="wp-block-heading">運用</h2> <h3 class="wp-block-heading">systemd UnitとTimerによる自動化</h3> <p>定期的な同期は<code>systemd</code>の<code>Unit</code>と<code>Timer</code>を使うことで実現できます。</p> <h4 class="wp-block-heading"><code>rsync-web-content.service</code> (Unitファイル)</h4> <p><code>/etc/systemd/system/rsync-web-content.service</code> に以下の内容で作成します。</p> <pre data-enlighter-language="generic">[Unit] Description=Synchronize Web Content to Remote Server Documentation=https://example.com/rsync-docs [Service] # スクリプトを実行するユーザーとグループを指定します。 # 最小権限の原則に基づき、rootではなく専用ユーザー (例: webuser) を指定します。 User=webuser Group=webuser # スクリプトの作業ディレクトリを指定します。 WorkingDirectory=/home/webuser/scripts/ # 実行するスクリプトへのフルパスを指定します。 ExecStart=/home/webuser/scripts/sync_script.sh # スクリプトが失敗した場合に再起動しないよう設定します (手動対処を想定)。 Restart=no # 標準出力をジャーナルに転送 StandardOutput=journal StandardError=journal # SSHエージェントフォワーディングをsystemdサービスで利用する際の注意点: # SSH_AUTH_SOCKは通常、ユーザーログインセッションに紐づきます。 # systemdのシステムサービス (rootでdaemon-reload/startされるもの) から # 特定ユーザーのssh-agentソケットを利用するのは複雑です。 # 一般的には以下の選択肢が考えられます: # 1. systemdのUser Serviceとして設定する (ユーザーがログインしている間のみ有効)。 # 2. rsync専用のSSHキーペアを生成し、その秘密鍵をサービス実行ユーザーのホームディレクトリに # パーミッションを厳しく設定して配置し、rsync -e "ssh -i /path/to/key" のように直接指定する。 # この場合、エージェントフォワーディングの利点 (秘密鍵をサーバーに置かない) が失われます。 # 3. ユーザーのcrontabで実行する。これが最もシンプルで、ユーザーのssh-agent環境をそのまま利用できます。 # # ここでは、systemdの例として記述しつつ、複雑さに触れる形で進めます。 # 仮にユーザーがログイン中でssh-agentが起動しているとして、そのソケットパスを指定する例です。 # Environment="SSH_AUTH_SOCK=/run/user/$(id -u webuser)/ssh-agent/socket" # 実際の運用では、このパスは変動する可能性があり、永続化ツール (keychainなど) や # User Serviceの検討が必須です。 </pre> <blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow"> <p>Note: <code>systemd</code>サービス内で<code>SSH_AUTH_SOCK</code>を使用するには、サービス実行ユーザーの<code>ssh-agent</code>が起動しており、そのソケットパスが正しく指定されている必要があります。これはログインセッションと結びついていることが多いため、<code>systemd</code>のシステムサービスとしてエージェントフォワーディングを利用するのは、慎重な設計が必要です。多くの場合、<code>systemd</code>のユーザーサービスとして設定するか、スクリプト内でSSH鍵ファイルを直接指定するか（非推奨）、<code>cron</code>でログインユーザーとして実行する方がシンプルかもしれません。</p> </blockquote> <h4 class="wp-block-heading"><code>rsync-web-content.timer</code> (Timerファイル)</h4> <p><code>/etc/systemd/system/rsync-web-content.timer</code> に以下の内容で作成します。</p> <pre data-enlighter-language="generic">[Unit] Description=Run rsync web content synchronization every 15 minutes [Timer] # 15分ごとに実行します。 OnCalendar=*:0/15 # システム起動時に前回実行できなかったタスクがあればすぐに実行します。 Persistent=true [Install] WantedBy=timers.target </pre> <h4 class="wp-block-heading">systemdの有効化と起動</h4> <pre data-enlighter-language="generic"># systemdデーモンをリロード sudo systemctl daemon-reload # タイマーを有効化して起動 sudo systemctl enable rsync-web-content.timer sudo systemctl start rsync-web-content.timer </pre> <h4 class="wp-block-heading">ログの確認</h4> <pre data-enlighter-language="generic">journalctl -u rsync-web-content.service journalctl -u rsync-web-content.timer </pre> <p>これらのコマンドで、スクリプトの実行状況やエラーメッセージを把握できます。</p> <h2 class="wp-block-heading">トラブルシュート</h2> <ul class="wp-block-list"> <li><strong>SSH接続エラー</strong>: <code>ssh -vvv user@host</code> で詳細なデバッグ情報を確認します。<code>Permission denied</code>の場合、公開鍵・秘密鍵のペアが正しく設定されているか、<code>~/.ssh/authorized_keys</code>のパーミッションが正しいか（<code>600</code>が推奨）、<code>ssh-agent</code>に鍵が追加されているかを確認します。</li> <li><strong>rsyncエラー</strong>: <code>rsync -vvv</code> を使って詳細な転送ログを確認します。ファイルパスの誤り、権限不足、ネットワークの問題などが原因であることがあります。</li> <li><strong>systemdサービスが起動しない</strong>: <code>journalctl -xeu rsync-web-content.service</code> でサービスログとシステム全体のログを確認します。<code>ExecStart</code>のパスが正しいか、スクリプトに実行権限があるか、<code>User</code>や<code>Group</code>の設定が正しいかを確認します。</li> <li><strong>SSHエージェントフォワーディングが機能しない (systemdサービス)</strong>: 前述の通り、<code>SSH_AUTH_SOCK</code>環境変数の設定がサービス内で最も難しい部分です。多くの場合、ユーザーがログインしている環境の<code>ssh-agent</code>ソケットは、システムサービスからは直接利用できません。この場合は、<code>cron</code>によるユーザー実行や、専用の鍵ファイルを使う方法を再検討してください。</li> <li><strong>jq/curlエラー</strong>: コマンドの構文エラーや、APIエンドポイントへのネットワーク接続、TLS証明書の問題を確認します。<code>curl</code>の場合は<code>-v</code>オプションで詳細なリクエスト/レスポンス情報を確認できます。</li> </ul> <h2 class="wp-block-heading">まとめ</h2> <p>本稿では、<code>rsync</code>と<code>SSHエージェントフォワーディング</code>を組み合わせることで、リモートファイル同期を安全かつ効率的に行う方法について解説しました。<code>set -euo pipefail</code>や<code>trap</code>を用いた堅牢な<code>bash</code>スクリプトの記述、<code>jq</code>や<code>curl</code>による柔軟な処理拡張、そして<code>systemd</code>による自動化と運用のポイントをご紹介しました。</p> <p>特に、秘密鍵を同期元サーバーに配置しない<code>SSHエージェントフォワーディング</code>の利用は、セキュリティ上の大きなメリットをもたらします。一方で、<code>systemd</code>サービス内でこれを活用するには、<code>SSH_AUTH_SOCK</code>の適切な管理が必要となるため、利用シーンに応じた慎重な設計が不可欠です。</p> <p>これらの技術を適切に組み合わせることで、日々の運用作業を自動化し、安定したシステム稼働に貢献できるでしょう。常にセキュリティと権限分離の原則を意識し、最適な運用を目指していきましょう。</p>

#!/usr/bin/env bash
# set -euo pipefail はスクリプトの堅牢性を高める定番の記述です。
# -e: エラーが発生したら即座に終了。
# -u: 未定義の変数を使用したらエラー。
# -o pipefail: パイプライン中のコマンドが一つでも失敗したら全体を失敗とする。
set -euo pipefail

# ==============================================================================
# 変数定義
# ==============================================================================
# 設定ファイルパス (存在すればここから読み込む)
CONFIG_FILE="./sync_config.json"
# 同期元ディレクトリ (ローカル)
SOURCE_DIR="/var/www/html/mysite/"
# 同期先ユーザーとホスト (デフォルト値)
REMOTE_USER="webuser"
REMOTE_HOST="target.example.com"
# 同期先ディレクトリ (リモート)
REMOTE_DIR="/var/www/html/mysite/"
# 同期完了通知用のAPIエンドポイント (例: Slack Webhook, 監視サービスAPIなど)
NOTIFICATION_API_URL="https://example.com/api/notify"

# ==============================================================================
# 一時ディレクトリの作成とクリーンアップ設定 (trap)
# ==============================================================================
# mktemp -d で安全な一時ディレクトリを作成します。
TMP_DIR=$(mktemp -d)
# trap コマンドでスクリプト終了時に一時ディレクトリを削除するように設定します。
# EXITシグナルはスクリプトが正常終了しても異常終了しても実行されます。
trap 'rm -rf "$TMP_DIR"; echo "一時ディレクトリ $TMP_DIR を削除しました。"' EXIT
echo "一時ディレクトリ: $TMP_DIR を作成しました。"

# ==============================================================================
# 設定ファイルの読み込み (jqの利用例)
# ==============================================================================
# 設定ファイル (sync_config.json) の内容例:
# {
#   "remote_user": "webuser",
#   "remote_host": "target.example.com",
#   "remote_dir": "/var/www/html/mysite/"
# }
if [ -f "$CONFIG_FILE" ]; then
    echo "設定ファイル $CONFIG_FILE から情報を読み込みます..."
    REMOTE_USER=$(jq -r '.remote_user // "'"$REMOTE_USER"'"' "$CONFIG_FILE")
    REMOTE_HOST=$(jq -r '.remote_host // "'"$REMOTE_HOST"'"' "$CONFIG_FILE")
    REMOTE_DIR=$(jq -r '.remote_dir // "'"$REMOTE_DIR"'"' "$CONFIG_FILE")
else
    echo "設定ファイル $CONFIG_FILE が見つかりませんでした。デフォルト値を使用します。"
fi

# ==============================================================================
# rsyncによるファイル同期 (SSHエージェントフォワーディング利用)
# ==============================================================================
echo "rsyncを開始します: $SOURCE_DIR -> $REMOTE_USER@$REMOTE_HOST:$REMOTE_DIR"

# -a: アーカイブモード (パーミッション、所有者、タイムスタンプなどを保持)
# -z: 転送データを圧縮
# -P: 進捗状況を表示し、部分転送を再開可能にする (--partial --progress の省略形)
# --delete-before: 転送前に同期先から余分なファイルを削除
# -e "ssh -A": SSHエージェントフォワーディングを有効にしてSSH接続を使用
#              これにより、ローカルのssh-agentが持つ秘密鍵でリモートに接続できます。
#              秘密鍵を同期元サーバーに配置する必要がなくなります。
if rsync -azP --delete-before -e "ssh -A" "$SOURCE_DIR" "$REMOTE_USER@$REMOTE_HOST:$REMOTE_DIR"; then
    SYNC_STATUS="SUCCESS"
    echo "rsyncが正常に完了しました。"
else
    SYNC_STATUS="FAILED"
    echo "rsyncが失敗しました。" >&2
    # エラー時はここで終了し、通知処理へ進む
fi

# ==============================================================================
# 同期結果の通知 (curlの利用例 - TLS/再試行/バックオフ)
# ==============================================================================
echo "同期結果を通知します..."
NOTIFICATION_MESSAGE="rsync同期 ($REMOTE_HOST:$REMOTE_DIR) が $SYNC_STATUS しました。"
# 通知ペイロードを一時ファイルに書き出す
echo "{\"text\": \"$NOTIFICATION_MESSAGE\"}" > "$TMP_DIR/notification_payload.json"

# curl を用いた安全な通知処理の例
# --fail: HTTPエラーコードで終了ステータスを非ゼロにする
# --retry 5: 失敗時に5回まで再試行
# --retry-delay 3: 最初の再試行まで3秒待機
# --retry-max-time 30: 再試行の合計時間を30秒までに制限
# --connect-timeout 5: 接続確立のタイムアウトを5秒に設定
# --max-time 10: 全体の処理タイムアウトを10秒に設定
# --tls-max 1.2: TLSv1.2以上を要求し、よりセキュアな接続を確保
# --cacert: CA証明書を指定し、サーバー証明書の検証を行う (環境に合わせてパスを調整)
# -X POST: POSTリクエスト
# -H "Content-Type: application/json": JSON形式のヘッダー指定
# -d @一時ファイル: ファイルからリクエストボディを読み込む
if curl --fail \
        --retry 5 --retry-delay 3 --retry-max-time 30 \
        --connect-timeout 5 --max-time 10 \
        --tls-max 1.2 --cacert /etc/ssl/certs/ca-certificates.crt \
        -X POST \
        -H "Content-Type: application/json" \
        -d "@$TMP_DIR/notification_payload.json" \
        "$NOTIFICATION_API_URL"; then
    echo "通知が正常に送信されました。"
else
    echo "通知の送信に失敗しました。" >&2
fi

# 同期が失敗した場合、スクリプトも失敗として終了する
if [ "$SYNC_STATUS" = "FAILED" ]; then
    exit 1
fi

graph TD
    A["開発マシン/ローカル実行環境"] -->|1. rsync実行| B("SSH Agent: 秘密鍵保持")
    B -->|2. SSH接続 (ssh -A)| C("踏み台サーバー - オプション")
    C -->|3. SSH接続 (Agent経由)| D("ターゲットサーバー: 公開鍵認証")
    D -->|4. rsyncデータ転送| E("ターゲットのファイルシステム")
    E --5. 同期結果--> A

[Unit]
Description=Synchronize Web Content to Remote Server
Documentation=https://example.com/rsync-docs

[Service]
# スクリプトを実行するユーザーとグループを指定します。
# 最小権限の原則に基づき、rootではなく専用ユーザー (例: webuser) を指定します。
User=webuser
Group=webuser
# スクリプトの作業ディレクトリを指定します。
WorkingDirectory=/home/webuser/scripts/
# 実行するスクリプトへのフルパスを指定します。
ExecStart=/home/webuser/scripts/sync_script.sh
# スクリプトが失敗した場合に再起動しないよう設定します (手動対処を想定)。
Restart=no
# 標準出力をジャーナルに転送
StandardOutput=journal
StandardError=journal

# SSHエージェントフォワーディングをsystemdサービスで利用する際の注意点:
# SSH_AUTH_SOCKは通常、ユーザーログインセッションに紐づきます。
# systemdのシステムサービス (rootでdaemon-reload/startされるもの) から
# 特定ユーザーのssh-agentソケットを利用するのは複雑です。
# 一般的には以下の選択肢が考えられます:
# 1. systemdのUser Serviceとして設定する (ユーザーがログインしている間のみ有効)。
# 2. rsync専用のSSHキーペアを生成し、その秘密鍵をサービス実行ユーザーのホームディレクトリに
#    パーミッションを厳しく設定して配置し、rsync -e "ssh -i /path/to/key" のように直接指定する。
#    この場合、エージェントフォワーディングの利点 (秘密鍵をサーバーに置かない) が失われます。
# 3. ユーザーのcrontabで実行する。これが最もシンプルで、ユーザーのssh-agent環境をそのまま利用できます。
#
# ここでは、systemdの例として記述しつつ、複雑さに触れる形で進めます。
# 仮にユーザーがログイン中でssh-agentが起動しているとして、そのソケットパスを指定する例です。
# Environment="SSH_AUTH_SOCK=/run/user/$(id -u webuser)/ssh-agent/socket"
# 実際の運用では、このパスは変動する可能性があり、永続化ツール (keychainなど) や
# User Serviceの検討が必須です。

[Unit]
Description=Run rsync web content synchronization every 15 minutes

[Timer]
# 15分ごとに実行します。
OnCalendar=*:0/15
# システム起動時に前回実行できなかったタスクがあればすぐに実行します。
Persistent=true

[Install]
WantedBy=timers.target

# systemdデーモンをリロード
sudo systemctl daemon-reload
# タイマーを有効化して起動
sudo systemctl enable rsync-web-content.timer
sudo systemctl start rsync-web-content.timer

journalctl -u rsync-web-content.service
journalctl -u rsync-web-content.timer