1、简介:
rsync是Unix下的一款应用软件,它能同步更新两处计算机的文件与目录,并适当利用差分编码以减少数据传输。
2、Rsync使用教程:
用途:
当成镜像备份功能。
优点:
速度快,可对比本地文件,差异备份。
用法:
1、将/etc/内复制到/tmp/etc
2、将rsh.server的/etc 复制到本地 /tmp
3、通过rsync提供的服务(daemon),rsync使用873端口
Server:启动rsync,看:
编辑:
设置client端连接账号密码
三种模式差异在几个分号 :
命令:
27 |
-e 使用协议通道,例如ssh,-e ssh |
29 |
-a 相对于-rlptgoD,所以-a最常用 |
3、安全问题:
rsync默认的端口是873,可以使用nmap扫描IP是否开放该端口。
1 |
nmap -n --open -p 873 x.x.x.x/24 |
找到开放端口后,查看时候可默认口令登陆。使用命令查看:
既然是同步文件,自然有选择查看、上传或者下载的能力,这要视权限设定。
运气好的情况下秒杀站点。
详情可见WOOYUN案例:《网易某服务配置不当 导致2.2亿活跃用户敏感信息泄露》《赛迪网配置错误导致海量用户信息泄露 (260W数据)》
4、安全配置注意事项
注意两种方式防御,一是限定访问的IP,另一个是不允许匿名访问,添加用户口令。
限定IP的两种方式
IPTables防火墙
给rsync的端口添加一个iptables。
只希望能够从内部网络(192.168.101.0/24)访问:
1 |
iptables -A INPUT -i eth0 -p tcp -s 192.168.101.0/24 --dport 873 -m state --state NEW,ESTABLISHED -j ACCEPT |
3 |
iptables -A OUTPUT -o eth0 -p tcp --sport 873 -m state --state ESTABLISHED -j ACCEPT |
除此之外rsyncd.conf中的hosts allow也可以设置只允许来源ip。
1 |
hosts allow = X.X.X.X #允许访问的IP |
添加用户口令
添加rsync用户权限访问,注意配置的是rsyncd.conf中的:
1 |
secrets file = /etc/rsyncd.secrets #密码文件位置,认证文件设置,设置用户名和密码 |
3 |
auth users = rsync #授权帐号,认证的用户名,如果没有这行则表明是匿名,多个用户用,分隔。 |
