Использование авторизованных ключей SSH для развертывания обновления привилегированных файлов по локальной сети?

У меня есть сервер, который время от времени автоматически обновляет набор привилегированных файлов (например, ключи сертификатов, конфигурации и т. Д.). Необходимо сохранить эти файлы в других системах в локальной сети. Я примерно знаю, как это сделать, но я не знаю деталей реализации.

Удаленные команды для получения и сохранения файлов (выполняемые на этих других серверах локальной сети) могут восприниматься как статические или очень редко изменяемые и могут быть жестко запрограммированы, что означает, что они идеально подходят для использования с авторизованными ключами SSH, но в большинстве случаев необходимо соблюдать осторожность, так как файлы, которые они получают и хранят, по-прежнему имеют привилегии и сохраняются в пути, иначе только для чтения с правами root. Все задействованные системы - FreeBSD (+ один OpenBSD).

Я визуализирую такой процесс:

1. Генерация пары ключей с ssh-keygen, подходит для локального SSH (не требует работы с какой-либо общедоступной сетью или другими системами или функциями).
2. Создать привилегированный аккаунт PRIV_USER во всех системах, которые вообще не имеют доступа, кроме как через sshd (обычно требуются либо привилегии su, которые должны быть безопасными для фиксированного сценария, либо минимальный доступ для записи в определенные жестко запрограммированные местоположения, обычно доступные для чтения / записи только root, поскольку необходимо сохранить полученные файлы).
3. Настройте раздел авторизованных ключей в sshd на всех других системах, который при подключении как PRIV_USER, автоматически получает tar-архив файлов и распаковывает их в локальную файловую систему, затем отключается.
4. В отправляющей системе, когда файлы должны быть обновлены удаленно, запустите короткий скрипт, который создает архив tar файлов для отправки, а затем подключается к удаленной системе (системам) по очереди как PRIV_USER, отправляет файлы по SSH, отмечает успех / неудачу на консоль и завершает работу.

Я хотел бы избежать нарушения безопасности, получая их неправильно, и я ранее не использовал для этой цели Авторизованные ключи и не должен был генерировать свои собственные внутренние пары ключей для подобных целей, а также не создавал ограниченные привилегированные учетные записи. Таким образом, есть много способов, которыми я могу сделать это немного неправильно.

Какие правильные команды я должен использовать для минимальной базовой "не испорченной" реализации этой функции?:)