Does OIDC remove deploy keys automatically?

Only after you operate an issuer that maps JWT claims to sshd-trusted keys or certificates with short TTL.

What must never appear in CI logs?

Private key PEM bodies, raw secret values, or passphrases; log fingerprints and run identifiers instead.

How do certificates interact with chroot?

Certificates authenticate principals; chroot and POSIX permissions still enforce filesystem isolation.

2026 rclone, SFTP et rsync sur Mac distant : stratégie miroir, publication en lecture seule et matrice CI moindre privilège

Trois douleurs : miroir confondu avec release

Premièrement, viser directement l’arborescence client. rclone maintient la cohérence, mais filtres erronés et suppressions amont se propagent. Pour les artefacts iOS/macOS sur Mac distant, staging puis bascule symbolique comme dans publication atomique.

Deuxièmement, décalage avec internal-sftp. Sans shell, rclone SFTP fonctionne, mais supposer des commandes distantes produit des timeouts. Vérifiez propriétaires et jail via chroot multilocataire.

Troisièmement, secrets dans rclone.conf. Alignez-vous sur l’article CI/OIDC : clés éphémères et cloisonnement.

Complément : séparez comptes ou préfixes miroir/upload ; harmonisez sessions concurrentes avec --transfers. Ne pointez pas le miroir sur current. Conf confidentielle injectée par job. Bastion : ProxyJump.

Comparaison des rôles

rsync sur SSH pour deltas entre chemins connus. SFTP interactif pour diagnostic. rclone pour backends multiples. Sur un seul ingress Mac, complémentarité.

Les drapeaux checksum complètent intégrité sans remplacer la validation métier.

Matrice

Cas	Outil	Risque
CI vers staging releases	rsync	publication in-place partielle
Stockage objet vers Mac	rclone	sync destructif
Contrôle manuel	SFTP	pas d’automatisation

Sept étapes

rclone config create mac_sftp sftp host sftp.example.com user mirror_ro key_file "$RUNNER_TEMP/ci_ed25519" shell_type none
rclone copy ./assets mac_sftp:assets_mirror/ --transfers 4 --checkers 8 --sftp-connections 2 -v

Chiffres

Démarrez avec quatre transferts, observez CPU sshd et RTT. P95 handshake au-delà de huit cents millisecondes : inspectez bastion et tables de session.

FAQ

rclone remplace-t-il rsync pour le release CI ?

Seulement si la sémantique atomique est reconstruite ; souvent rsync pour delta, rclone pour miroirs.

Synthèse : outils complémentaires ; frontières et intégrité rendent la synchro auditable.

Limite : multitenant DIY coûte cher ; SFTPMAC regroupe isolation et entrée stable.

Capacité et exploitation : documentez débit attendu, pipelines concurrents et fenêtres de miroir avant d’augmenter --transfers ou MaxSessions. Corrélez journaux rclone et sshd (principal, préfixe, identifiant de run). Mesurez le P95 de handshake séparément par classe de runner ; sans ticket de changement, n’autorisez pas les suppressions automatiques vers des arbres visibles en production.

Consultez les offres SFTPMAC pour Mac distants isolés.

2026 rclone, SFTP et rsync sur Mac distant : stratégie miroir, lecture seule et matrice CI moindre privilège