Вопросы Теги

безопасность сервера/демона rsync

Это, вероятно, стоит Вас при чтении страницы справочника для удара (тип man bash при Вашей подсказке), поскольку это покрывает довольно большую полезную информацию кратким способом. Также посмотрите на часть из другого man страницы такой как test (используемый с if... while... statments), awk и sed. Вы найдете другие учебные руководства, вероятно, легче или более полезными для чтения как новичок, но Вы определенно возвратитесь к man страницы регулярно, таким образом, это помогает узнать их.

Моей оболочке Ubuntu назвали программу vimtutor который выглядит полезным для изучения vi.

4
06.11.2012, 00:51
3 ответа

Пойдите с тем, что уже является установкой, если ssh на поле работы уже является открывать/контролировать/поддерживать/контролировать сервисом, затем пытаются сделать rsync через это. Не открытие новых портов/сервисов является обычно самым безопасным. Открытие небезопасных протоколов к Интернету еще лучше =)

Можно получить ssh доступ к ReadyNas (если Вы не возражаете против некоторой стычки от Netgear в случае, "я удалил свой nas" обращение за поддержкой). Затем rsync -e ssh из командной строки, которая не оставляет ничто иное для установки. Автору, проводной безопасности и полномочиям пользователя/файла все предоставляет установка оболочки ssh/remote на поле работы.

Для открытия ssh в Вашей домашней сети:

  • Динамические стычки IP могут быть покрыты путем выполнения бесплатной динамической службы DNS.

  • Ограничьте доступ к порту к общедоступному IP поля Вашей работы.
    Некоторые маршрутизаторы позволяют Вам устанавливать исходный IP в правиле NAT.
    SSH может быть защищен с iptables и больше

Как DarkHeart упомянул, rsync отдельно по небезопасной сети не хорошая идея. Туннель и упомянутый vpn являются хорошей работой вокруг. Можно продолжить вышеупомянутый туннель ssh с autossh. Можно хотеть зависеть от некоторой rsync безопасности, если попытка оставить на виду туннель в зависимости от того, у кого еще есть доступ к любому концу.

Кроме того, если Вы уже не имеете, обсуждаете что Ваше выполнение с кем-то. Деталь, какие данные идут в/из сети. Думайте о том, какие данные смогли выходить, если все идет не так, как надо. Зарегистрируйте свой процесс где-нибудь.

8
27.01.2020, 20:46
  • 1
    Вы корректны, что ReadyNas действительно "поддерживает" ssh. Это - хорошая gui система резервного копирования, которую я надеялся использовать, который не поддерживает rsync по ssh. –  StrongBad 04.12.2012, 14:01
  • 2
    Чтобы использовать GUI и быть безопасным, Вам нужно локальное поле, Вы можете ssh к или от и rsync сервер, работающий на работе. Вы могли использовать ssh доступ к NAS для просто туннеля. Подобный ответу DarkHeart ssh WORKBOX -L 874:localhost:873 (см. autossh также). После того как у Вас есть rsync сервер и настроенный на работе, и туннель ssh произошел, необходимо смочь указать на GUI на "удаленный" сервер localhost:874, и это будет rsync с полем работы. –  Matt 05.12.2012, 16:13

Rsync, отдельно, передает данные в открытом тексте. Так так или иначе будет небезопасным. Или необходимо использовать туннелирование SSH или установить VPN. Если у Вас нет доступа SSH к NAS вообще, Вы могли бы использовать третий сервер в 'доме' для туннелирования от одного до другого. например:

 ssh HOME_PC_WITH_SSH -L 873:NAS_SERVER:873

Иначе используйте свой рабочий компьютер для вхождения в домашнюю VPN.

Отвечать на Ваш вопрос: Я сказал бы, что, если бы можно постараться не открывать порты затем, это было бы более безопасно.

5
27.01.2020, 20:46
  • 1
    rsync передает данные аутентификации в ясном также? Можно получить доступ ко всей системе через rsync демона? –  StrongBad 04.12.2012, 13:54
  • 2
    rsync протокол не шифрует автора, можно получить доступ к настроенным областям (пример вниз конец страницы) за исключением проблемы безопасности в rsync deamon, конечно. Обратите внимание, что автор через rsync секретный файл. отличное решение –  Matt 05.12.2012, 15:33

Ваш сценарий является трудным. Обычно это не проблема для открытия соединения от низкой зоны угрозы к высокой зоне угрозы (т.е. от внутренней сети к dmz) - система, которая находится больше в опасности быть поставленной под угрозу, тот с открытыми сервисами/портами к Интернету (это только верно для автоматизированных передач - так как все мы знаем, что можем подвергнуться нападению посредством наших веб-соединений клиента).

Я сказал бы, что машина работы должна открыть соединение к Вашей машине дома (я надеюсь, что это законно на Вашей работе) - и используйте технику, названную стуком порта на Вашей машине дома. Последовательность для открытия целевого порта на машине дома должна быть сохранена на машине работы. И необходимо изменить ту последовательность после каждого использования.

1
27.01.2020, 20:46

Теги

Похожие вопросы