Linux之Rsync的安裝及服務安全加固

歡迎來到藍隊云技術小課堂，每天分享一個技術小知識。

Rsync 是一個通過檢查文件的時間戳和大小，來跨計算機系統高效地傳輸和同步文件的工具。通常情況下，管理程序在啟動 Rsync 服務后，會直接運行傳輸任務。如果 Rsync 服務未經過安全加固，則很容易出現未授權訪問等安全問題；其直接后果是傳輸數據裸露在互聯網上，可以被任何人訪問獲取，帶來嚴重的數據泄露風險。

以下是關于 Rsync 服務的安裝及安全加固 的詳細步驟：

一、Rsync 服務安裝

1. 安裝 Rsync

在 Linux 系統中，可以通過以下命令安裝 Rsync：

yum install rsync -y

或者使用 apt（適用于 Debian/Ubuntu 系統）：

sudo apt-get install rsync

2. 配置 Rsync 服務端

Rsync 的配置文件通常位于 /etc/rsyncd.conf。如果該文件不存在，需要手動創建并編輯。以下是一個基本的配置示例：

# Global Settings

uid = root

gid = root

use chroot = no

max connections = 20

pid file = /var/run/rsyncd.pid

log file = /var/log/rsyncd.log

secrets file = /etc/rsyncd.secrets

# Module Definition

[backup]

path = /backup/

comment = Backup Directory

read only = no

auth users = rsync_user

3. 創建密碼文件

在配置文件中指定的 secrets file 需要包含用戶和密碼，格式為 username:password。例如：

echo "rsync_user:your_password" > /etc/rsyncd.secretschmod 600 /etc/rsyncd.secrets

4. 啟動 Rsync 服務

通過以下命令啟動 Rsync 守護進程：

rsync --daemon

確保 Rsync 服務在 873 端口監聽，可以使用以下命令檢查：

netstat -natp | grep rsync

二、Rsync 服務安全加固

1. 隱藏 Module 信息

在配置文件中設置：

list = false

2. 使用權限控制

將不需要寫入權限的 Module 設置為只讀：

read only = true

3. 限制網絡訪問

使用安全組策略或白名單，限制允許訪問主機的 IP 地址。例如：

hosts allow = 192.168.0.1

4. 啟用賬戶認證

服務端配置：

auth users = rsync_user

secrets file = /etc/rsyncd.secrets

· 

在 /etc/rsyncd.secrets 文件中寫入賬號密碼，格式為 username:password，支持多行。密碼必須滿足強密碼策略。

客戶端配置： 在客戶端，使用 --password-file 參數指定密碼文件：

rsync -av --password-file=/etc/rsyncd.secrets test.host.com::files /des/path

密碼文件權限必須設置為 600。

5. 數據加密傳輸

Rsync 默認不支持加密傳輸，可以通過 SSH 模式實現加密。例如：

rsync -avz -e ssh /source/directory user@remote_host:/destination/directory

6. 配置防火墻規則

通過防火墻工具（如 iptables 或 firewalld）限制對 Rsync 端口（默認為 873）的訪問。例如：

iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 873 -j ACCEPT

iptables -A INPUT -p tcp --dport 873 -j REJECT

7. 定期審計與日志監控

啟用詳細日志記錄，修改 /etc/rsyncd.conf 文件：

log file = /var/log/rsyncd.log

log format = %t %a %m %f %b

定期檢查日志文件，以便發現異常活動。

藍隊云官網上擁有完善的技術支持庫可供參考，大家可自行查閱，更多技術問題，可以直接咨詢。同時，藍隊云整理了運維必備的工具包免費分享給大家使用，需要的朋友可以直接咨詢。

更多技術知識，藍隊云期待與你一起探索。