Безопасность сервера rnync / daemon

У меня есть NAS (Netgear Readynas NV +) дома и ящик linux (Arch) на работе, который всегда включен. В linux box уже запущен сервер ssh / daemon, и NAS уже запускает сервер / демон rsync. NAS не поддерживает rsync по ssh. Как я понимаю, я могу либо разрешить переадресацию портов на моем домашнем маршрутизаторе, чтобы позволить моему linux-блоку инициировать rsync с NAS, либо я могу включить сервер rsync в поле Linux и позволить NAS запускать синхронизацию. Поскольку мой домашний маршрутизатор не имеет статического IP-адреса, я склоняюсь к запуску сервера rsync в окне linux.

Является ли один из способов более безопасным, чем другой? Есть ли серьезные недостатки в области безопасности?

3 Solutions collect form web for “Безопасность сервера rnync / daemon”

Пойдите с тем, что уже настроено, если ssh на рабочем поле уже является открытой / контролируемой / поддерживаемой / проверенной службой, тогда попробуйте выполнить rsync через это. Не открывать новые порты / службы, как правило, безопаснее. Не открывать небезопасные протоколы в Интернете еще лучше =)

Вы можете получить доступ ssh к ReadyNas (если вы не возражаете против хлопот Netgear в случае вызова поддержки «i deleted my nas»). Затем rsync -e ssh из командной строки, которая не оставляет ничего другого для настройки. Аутентификация, безопасность проводов и права пользователя / файла предоставляются с помощью настройки ssh / remote shell на рабочем поле.

Для открытия ssh в вашей домашней сети:

  • Динамические проблемы с IP-сетями можно покрыть за счет бесплатной динамической службы DNS .

  • Ограничьте доступ к порту на публичный IP-адрес вашего рабочего окна.
    Некоторые маршрутизаторы позволяют вам устанавливать IP-адрес источника в правиле NAT.
    SSH можно защитить с помощью iptables и более

Как отметил DarkHeart, rsync сам по себе по незащищенной сети – это не очень хорошая идея. Туннель и vpn, упомянутые, – хорошая работа. Вы можете сохранить вышеупомянутый туннель ssh с помощью autossh . Вы можете захотеть зависеть от некоторой безопасности rsync, если вы собираетесь покинуть туннель в зависимости от того, кто еще имеет доступ к любому концу.

Кроме того, если вы еще этого не сделали, обсудите, что вы делаете с кем-то. Подробно, какие данные поступают в сеть / из нее. Подумайте, какие данные могут выходить, если все пойдет не так. Документируйте свой процесс где-нибудь.

Rsync сам по себе передает данные в текстовом виде. Таким образом, любой из способов будет небезопасным. Вам нужно либо использовать туннелирование SSH, либо настроить VPN. Если у вас нет доступа SSH к NAS вообще, вы можете использовать третий сервер в «домашнем» туннеле от одного к другому. например:

  ssh HOME_PC_WITH_SSH -L 873:NAS_SERVER:873 

В противном случае используйте свой рабочий компьютер для входа в домашнюю VPN-сеть.

Чтобы ответить на ваш вопрос: я бы сказал, что если вы не сможете открыть порты, это будет более безопасным.

Ваш сценарий сложный. Обычно нет проблем с открытием соединения из зоны с низкой угрозой в зону повышенной угрозы (т. Е. Из внутренней сети в направлении dmz) – система, которая больше подвержена риску взлома, – это тот, услуг / портов в Интернете (это справедливо только для автоматизированных передач), поскольку мы все знаем, что мы можем атаковать через наши веб-клиент-соединения).

Я бы сказал, что рабочая машина должна открыть соединение с вашей домашней машиной (я надеюсь, что это законно для вашей работы) – и используйте технику, называемую портовым нажатием на вашей домашней машине. Последовательность открытия целевого порта на вашей домашней машине должна быть сохранена на вашей рабочей машине. И вы должны изменить эту последовательность после каждого использования.

  • Получение пользовательского ввода из сценария, используемого как stdin для сеанса SSH
  • Подключиться к удаленному Linux-серверу, который настроен по умолчанию, не настроен на подключение?
  • невозможно подключиться к перенаправленному порту через ssh
  • Is -X избыточно, если -Y также указано при запуске ssh?
  • системный SOCKS5 Proxy
  • Как диагностировать тайм-аут соединения SSH?
  • SSH-соединение через SSH-туннель продолжает закрываться
  • Как узнать, работает ли sshd с ClientAliveInterval> 0?
  • Внедрение TLS 1.2, когда я SSH в коробку в качестве меры против POODLE
  • scp на локальную машину после SSHing
  • Как скопировать файл, который все еще записывается поверх ssh?
  • Interesting Posts

    Разрешить повторное сканирование дисков grub?

    polkit-gnome-authentication-agent-1 не запускается автоматически после обновления

    Настройте kbd и немедленно получите прибыль без перезагрузки

    mv файл в / dev / null breaks dev / null

    502 Ошибка прокси – запрос PUT для сервера MDM OSX через apache ProxyPass на ubuntu 14

    Почему настольная программа запуска не запускает мое приложение, а в командной строке?

    Как я могу сопоставить устройство ttyUSBX с последовательным устройством USB

    Как открыть автомонтированные устройства с помощью thunar в оболочке gnome?

    Все вхождения регулярного выражения удаляются без использования «глобального» модификатора

    Добавьте строку под каждой строкой, соответствующей шаблону, только если она уже отсутствует

    Почему «strip» не удаляет заголовки разделов из исполняемых файлов ELF?

    Есть ли способ распечатать значение внутри переменной внутри одной кавычки?

    Почему две почти idetic команды grep возвращают разные выходные данные: w / o и с именем файла

    Как запустить самую последнюю команду в AIX?

    В каком журнале я должен проверять ошибки udev?

    Linux и Unix - лучшая ОС в мире.