Безопасность сервера rnync / daemon

У меня есть NAS (Netgear Readynas NV +) дома и ящик linux (Arch) на работе, который всегда включен. В linux box уже запущен сервер ssh / daemon, и NAS уже запускает сервер / демон rsync. NAS не поддерживает rsync по ssh. Как я понимаю, я могу либо разрешить переадресацию портов на моем домашнем маршрутизаторе, чтобы позволить моему linux-блоку инициировать rsync с NAS, либо я могу включить сервер rsync в поле Linux и позволить NAS запускать синхронизацию. Поскольку мой домашний маршрутизатор не имеет статического IP-адреса, я склоняюсь к запуску сервера rsync в окне linux.

Является ли один из способов более безопасным, чем другой? Есть ли серьезные недостатки в области безопасности?

3 Solutions collect form web for “Безопасность сервера rnync / daemon”

Пойдите с тем, что уже настроено, если ssh на рабочем поле уже является открытой / контролируемой / поддерживаемой / проверенной службой, тогда попробуйте выполнить rsync через это. Не открывать новые порты / службы, как правило, безопаснее. Не открывать небезопасные протоколы в Интернете еще лучше =)

Вы можете получить доступ ssh к ReadyNas (если вы не возражаете против хлопот Netgear в случае вызова поддержки «i deleted my nas»). Затем rsync -e ssh из командной строки, которая не оставляет ничего другого для настройки. Аутентификация, безопасность проводов и права пользователя / файла предоставляются с помощью настройки ssh / remote shell на рабочем поле.

Для открытия ssh в вашей домашней сети:

  • Динамические проблемы с IP-сетями можно покрыть за счет бесплатной динамической службы DNS .

  • Ограничьте доступ к порту на публичный IP-адрес вашего рабочего окна.
    Некоторые маршрутизаторы позволяют вам устанавливать IP-адрес источника в правиле NAT.
    SSH можно защитить с помощью iptables и более

Как отметил DarkHeart, rsync сам по себе по незащищенной сети – это не очень хорошая идея. Туннель и vpn, упомянутые, – хорошая работа. Вы можете сохранить вышеупомянутый туннель ssh с помощью autossh . Вы можете захотеть зависеть от некоторой безопасности rsync, если вы собираетесь покинуть туннель в зависимости от того, кто еще имеет доступ к любому концу.

Кроме того, если вы еще этого не сделали, обсудите, что вы делаете с кем-то. Подробно, какие данные поступают в сеть / из нее. Подумайте, какие данные могут выходить, если все пойдет не так. Документируйте свой процесс где-нибудь.

Rsync сам по себе передает данные в текстовом виде. Таким образом, любой из способов будет небезопасным. Вам нужно либо использовать туннелирование SSH, либо настроить VPN. Если у вас нет доступа SSH к NAS вообще, вы можете использовать третий сервер в «домашнем» туннеле от одного к другому. например:

  ssh HOME_PC_WITH_SSH -L 873:NAS_SERVER:873 

В противном случае используйте свой рабочий компьютер для входа в домашнюю VPN-сеть.

Чтобы ответить на ваш вопрос: я бы сказал, что если вы не сможете открыть порты, это будет более безопасным.

Ваш сценарий сложный. Обычно нет проблем с открытием соединения из зоны с низкой угрозой в зону повышенной угрозы (т. Е. Из внутренней сети в направлении dmz) – система, которая больше подвержена риску взлома, – это тот, услуг / портов в Интернете (это справедливо только для автоматизированных передач), поскольку мы все знаем, что мы можем атаковать через наши веб-клиент-соединения).

Я бы сказал, что рабочая машина должна открыть соединение с вашей домашней машиной (я надеюсь, что это законно для вашей работы) – и используйте технику, называемую портовым нажатием на вашей домашней машине. Последовательность открытия целевого порта на вашей домашней машине должна быть сохранена на вашей рабочей машине. И вы должны изменить эту последовательность после каждого использования.

  • Запустить скрипт на нескольких хостах
  • Fedora 16 ssh через интернет / домашнюю сеть. Тот же компьютер в порядке
  • ssh и экран автоматически - что мне не хватает?
  • SFTP Chroot и SSH
  • Переадресация портов для VPN-подключения
  • SSH не указывает, что открытый ключ используется для входа в систему
  • Переменная, назначенная внутри команды ssh, не возвращает правильное значение
  • Как загрузить файл на удаленную машину через SSH?
  • Выполнять команду в sftp-подключении через скрипт
  • Различные конфигурации для клиента ssh в зависимости от IP-адреса или имени хоста
  • ssh-ключ не работает для одного сервера, но работает для другого
  • Linux и Unix - лучшая ОС в мире.