Безопасность сервера rnync / daemon

У меня есть NAS (Netgear Readynas NV +) дома и ящик linux (Arch) на работе, который всегда включен. В linux box уже запущен сервер ssh / daemon, и NAS уже запускает сервер / демон rsync. NAS не поддерживает rsync по ssh. Как я понимаю, я могу либо разрешить переадресацию портов на моем домашнем маршрутизаторе, чтобы позволить моему linux-блоку инициировать rsync с NAS, либо я могу включить сервер rsync в поле Linux и позволить NAS запускать синхронизацию. Поскольку мой домашний маршрутизатор не имеет статического IP-адреса, я склоняюсь к запуску сервера rsync в окне linux.

Является ли один из способов более безопасным, чем другой? Есть ли серьезные недостатки в области безопасности?

  • Доступ к локальному gpu, когда ssh на удаленном сервере
  • Исправьте настройки файла ssh для туннеля на третий компьютер
  • scp и rsync не работают при выполнении в файлах .sh из окна «запуска программ»,
  • Пользовательское ssh-соединение Linux отключено после выполнения команды setfacl
  • SSH работает / остается в живых, пока ping работает в фоновом режиме
  • SSH не будет работать, прежде чем вручную перезапустить network.service
  • Ошибка входа в систему Putty через SSH (ошибка сети: время ожидания подключения)
  • Список портов, туннелированных на сервере OpenSSH
  • 3 Solutions collect form web for “Безопасность сервера rnync / daemon”

    Пойдите с тем, что уже настроено, если ssh на рабочем поле уже является открытой / контролируемой / поддерживаемой / проверенной службой, тогда попробуйте выполнить rsync через это. Не открывать новые порты / службы, как правило, безопаснее. Не открывать небезопасные протоколы в Интернете еще лучше =)

    Вы можете получить доступ ssh к ReadyNas (если вы не возражаете против хлопот Netgear в случае вызова поддержки «i deleted my nas»). Затем rsync -e ssh из командной строки, которая не оставляет ничего другого для настройки. Аутентификация, безопасность проводов и права пользователя / файла предоставляются с помощью настройки ssh / remote shell на рабочем поле.

    Для открытия ssh в вашей домашней сети:

    • Динамические проблемы с IP-сетями можно покрыть за счет бесплатной динамической службы DNS .

    • Ограничьте доступ к порту на публичный IP-адрес вашего рабочего окна.
      Некоторые маршрутизаторы позволяют вам устанавливать IP-адрес источника в правиле NAT.
      SSH можно защитить с помощью iptables и более

    Как отметил DarkHeart, rsync сам по себе по незащищенной сети – это не очень хорошая идея. Туннель и vpn, упомянутые, – хорошая работа. Вы можете сохранить вышеупомянутый туннель ssh с помощью autossh . Вы можете захотеть зависеть от некоторой безопасности rsync, если вы собираетесь покинуть туннель в зависимости от того, кто еще имеет доступ к любому концу.

    Кроме того, если вы еще этого не сделали, обсудите, что вы делаете с кем-то. Подробно, какие данные поступают в сеть / из нее. Подумайте, какие данные могут выходить, если все пойдет не так. Документируйте свой процесс где-нибудь.

    Rsync сам по себе передает данные в текстовом виде. Таким образом, любой из способов будет небезопасным. Вам нужно либо использовать туннелирование SSH, либо настроить VPN. Если у вас нет доступа SSH к NAS вообще, вы можете использовать третий сервер в «домашнем» туннеле от одного к другому. например:

      ssh HOME_PC_WITH_SSH -L 873:NAS_SERVER:873 

    В противном случае используйте свой рабочий компьютер для входа в домашнюю VPN-сеть.

    Чтобы ответить на ваш вопрос: я бы сказал, что если вы не сможете открыть порты, это будет более безопасным.

    Ваш сценарий сложный. Обычно нет проблем с открытием соединения из зоны с низкой угрозой в зону повышенной угрозы (т. Е. Из внутренней сети в направлении dmz) – система, которая больше подвержена риску взлома, – это тот, услуг / портов в Интернете (это справедливо только для автоматизированных передач), поскольку мы все знаем, что мы можем атаковать через наши веб-клиент-соединения).

    Я бы сказал, что рабочая машина должна открыть соединение с вашей домашней машиной (я надеюсь, что это законно для вашей работы) – и используйте технику, называемую портовым нажатием на вашей домашней машине. Последовательность открытия целевого порта на вашей домашней машине должна быть сохранена на вашей рабочей машине. И вы должны изменить эту последовательность после каждого использования.

    Interesting Posts
    Linux и Unix - лучшая ОС в мире.