Linux之Rsync的安裝及服務(wù)安全加固

歡迎來到藍(lán)隊云技術(shù)小課堂，每天分享一個技術(shù)小知識。

Rsync 是一個通過檢查文件的時間戳和大小，來跨計算機(jī)系統(tǒng)高效地傳輸和同步文件的工具。通常情況下，管理程序在啟動 Rsync 服務(wù)后，會直接運(yùn)行傳輸任務(wù)。如果 Rsync 服務(wù)未經(jīng)過安全加固，則很容易出現(xiàn)未授權(quán)訪問等安全問題；其直接后果是傳輸數(shù)據(jù)裸露在互聯(lián)網(wǎng)上，可以被任何人訪問獲取，帶來嚴(yán)重的數(shù)據(jù)泄露風(fēng)險。

以下是關(guān)于 Rsync 服務(wù)的安裝及安全加固 的詳細(xì)步驟：

一、Rsync 服務(wù)安裝

1. 安裝 Rsync

在 Linux 系統(tǒng)中，可以通過以下命令安裝 Rsync：

yum install rsync -y

或者使用 apt（適用于 Debian/Ubuntu 系統(tǒng)）：

sudo apt-get install rsync

2. 配置 Rsync 服務(wù)端

Rsync 的配置文件通常位于 /etc/rsyncd.conf。如果該文件不存在，需要手動創(chuàng)建并編輯。以下是一個基本的配置示例：

# Global Settings

uid = root

gid = root

use chroot = no

max connections = 20

pid file = /var/run/rsyncd.pid

log file = /var/log/rsyncd.log

secrets file = /etc/rsyncd.secrets

# Module Definition

[backup]

path = /backup/

comment = Backup Directory

read only = no

auth users = rsync_user

3. 創(chuàng)建密碼文件

在配置文件中指定的 secrets file 需要包含用戶和密碼，格式為 username:password。例如：

echo "rsync_user:your_password" > /etc/rsyncd.secretschmod 600 /etc/rsyncd.secrets

4. 啟動 Rsync 服務(wù)

通過以下命令啟動 Rsync 守護(hù)進(jìn)程：

rsync --daemon

確保 Rsync 服務(wù)在 873 端口監(jiān)聽，可以使用以下命令檢查：

netstat -natp | grep rsync

二、Rsync 服務(wù)安全加固

1. 隱藏 Module 信息

在配置文件中設(shè)置：

list = false

2. 使用權(quán)限控制

將不需要寫入權(quán)限的 Module 設(shè)置為只讀：

read only = true

3. 限制網(wǎng)絡(luò)訪問

使用安全組策略或白名單，限制允許訪問主機(jī)的 IP 地址。例如：

hosts allow = 192.168.0.1

4. 啟用賬戶認(rèn)證

服務(wù)端配置：

auth users = rsync_user

secrets file = /etc/rsyncd.secrets

· 

在 /etc/rsyncd.secrets 文件中寫入賬號密碼，格式為 username:password，支持多行。密碼必須滿足強(qiáng)密碼策略。

客戶端配置： 在客戶端，使用 --password-file 參數(shù)指定密碼文件：

rsync -av --password-file=/etc/rsyncd.secrets test.host.com::files /des/path

密碼文件權(quán)限必須設(shè)置為 600。

5. 數(shù)據(jù)加密傳輸

Rsync 默認(rèn)不支持加密傳輸，可以通過 SSH 模式實現(xiàn)加密。例如：

rsync -avz -e ssh /source/directory user@remote_host:/destination/directory

6. 配置防火墻規(guī)則

通過防火墻工具（如 iptables 或 firewalld）限制對 Rsync 端口（默認(rèn)為 873）的訪問。例如：

iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 873 -j ACCEPT

iptables -A INPUT -p tcp --dport 873 -j REJECT

7. 定期審計與日志監(jiān)控

啟用詳細(xì)日志記錄，修改 /etc/rsyncd.conf 文件：

log file = /var/log/rsyncd.log

log format = %t %a %m %f %b

定期檢查日志文件，以便發(fā)現(xiàn)異常活動。

藍(lán)隊云官網(wǎng)上擁有完善的技術(shù)支持庫可供參考，大家可自行查閱，更多技術(shù)問題，可以直接咨詢。同時，藍(lán)隊云整理了運(yùn)維必備的工具包免費(fèi)分享給大家使用，需要的朋友可以直接咨詢。

更多技術(shù)知識，藍(lán)隊云期待與你一起探索。