Безопасность сервера rnync / daemon

У меня есть NAS (Netgear Readynas NV +) дома и ящик linux (Arch) на работе, который всегда включен. В linux box уже запущен сервер ssh / daemon, и NAS уже запускает сервер / демон rsync. NAS не поддерживает rsync по ssh. Как я понимаю, я могу либо разрешить переадресацию портов на моем домашнем маршрутизаторе, чтобы позволить моему linux-блоку инициировать rsync с NAS, либо я могу включить сервер rsync в поле Linux и позволить NAS запускать синхронизацию. Поскольку мой домашний маршрутизатор не имеет статического IP-адреса, я склоняюсь к запуску сервера rsync в окне linux.

Является ли один из способов более безопасным, чем другой? Есть ли серьезные недостатки в области безопасности?

3 Solutions collect form web for “Безопасность сервера rnync / daemon”

Пойдите с тем, что уже настроено, если ssh на рабочем поле уже является открытой / контролируемой / поддерживаемой / проверенной службой, тогда попробуйте выполнить rsync через это. Не открывать новые порты / службы, как правило, безопаснее. Не открывать небезопасные протоколы в Интернете еще лучше =)

Вы можете получить доступ ssh к ReadyNas (если вы не возражаете против хлопот Netgear в случае вызова поддержки «i deleted my nas»). Затем rsync -e ssh из командной строки, которая не оставляет ничего другого для настройки. Аутентификация, безопасность проводов и права пользователя / файла предоставляются с помощью настройки ssh / remote shell на рабочем поле.

Для открытия ssh в вашей домашней сети:

  • Динамические проблемы с IP-сетями можно покрыть за счет бесплатной динамической службы DNS .

  • Ограничьте доступ к порту на публичный IP-адрес вашего рабочего окна.
    Некоторые маршрутизаторы позволяют вам устанавливать IP-адрес источника в правиле NAT.
    SSH можно защитить с помощью iptables и более

Как отметил DarkHeart, rsync сам по себе по незащищенной сети – это не очень хорошая идея. Туннель и vpn, упомянутые, – хорошая работа. Вы можете сохранить вышеупомянутый туннель ssh с помощью autossh . Вы можете захотеть зависеть от некоторой безопасности rsync, если вы собираетесь покинуть туннель в зависимости от того, кто еще имеет доступ к любому концу.

Кроме того, если вы еще этого не сделали, обсудите, что вы делаете с кем-то. Подробно, какие данные поступают в сеть / из нее. Подумайте, какие данные могут выходить, если все пойдет не так. Документируйте свой процесс где-нибудь.

Rsync сам по себе передает данные в текстовом виде. Таким образом, любой из способов будет небезопасным. Вам нужно либо использовать туннелирование SSH, либо настроить VPN. Если у вас нет доступа SSH к NAS вообще, вы можете использовать третий сервер в «домашнем» туннеле от одного к другому. например:

  ssh HOME_PC_WITH_SSH -L 873:NAS_SERVER:873 

В противном случае используйте свой рабочий компьютер для входа в домашнюю VPN-сеть.

Чтобы ответить на ваш вопрос: я бы сказал, что если вы не сможете открыть порты, это будет более безопасным.

Ваш сценарий сложный. Обычно нет проблем с открытием соединения из зоны с низкой угрозой в зону повышенной угрозы (т. Е. Из внутренней сети в направлении dmz) – система, которая больше подвержена риску взлома, – это тот, услуг / портов в Интернете (это справедливо только для автоматизированных передач), поскольку мы все знаем, что мы можем атаковать через наши веб-клиент-соединения).

Я бы сказал, что рабочая машина должна открыть соединение с вашей домашней машиной (я надеюсь, что это законно для вашей работы) – и используйте технику, называемую портовым нажатием на вашей домашней машине. Последовательность открытия целевого порта на вашей домашней машине должна быть сохранена на вашей рабочей машине. И вы должны изменить эту последовательность после каждого использования.

  • Как передать два файла через ssh?
  • Получение no tty присутствует и не запрашивать программу, указанную при использовании git over ssh
  • Как прокси-приложение через обратный SSH-туннель (несколько переходов)
  • Как работает 'ssh user2 @ host2: user1 @ host1'?
  • gpg-agent пытается использовать несуществующий ключ ssh
  • ssh-туннелирование: соединение закрыто иностранным хостом
  • как найти имя хоста X-сервера
  • Проверьте, активен ли встроенный звук из разных пользователей
  • ssh подключается к неправильному серверу
  • Запуск приложения GUI в фоновом режиме и последующее повторное подключение
  • Как мне выйти из SSH после запуска процесса с выходом, чтобы он работал?
  • Linux и Unix - лучшая ОС в мире.