> Т.к. бэкап выполняется с удаленного хоста, а копируемые данные зачастую доступны только пользователям root следовательно необходимо на всех хостах, с которых будет производиться бэкап разрешить вход для root.

Есть же такая хорошая штука как sudo
разрешаешь некоему юзеру по sudo выполнять без пароль только один скрипт, в котором вызывается твой rsync с уже задаными параметрами.

даже если под логином войдет посторонний -- кроме внепланового бэккапа ничего плохого сделать не сможет.