rsync安全配置与配置不当引发的血案

1、简介:

rsync是Unix下的一款应用软件,它能同步更新两处计算机的文件与目录,并适当利用差分编码以减少数据传输。

2、Rsync使用教程:

用途:

当成镜像备份功能。

优点:

速度快,可对比本地文件,差异备份。

用法:

1、将/etc/内复制到/tmp/etc

1 rsync –av /etc /tmp

2、将rsh.server的/etc 复制到本地 /tmp

1 rsync –av –e ssh user@rsh.server:/etc /tmp

3、通过rsync提供的服务(daemon),rsync使用873端口

    Server:启动rsync,看:

1 /etc/xinetd.d/rsync

编辑:

1 /etc/rsyncd.conf

设置client端连接账号密码

1 Client:rsync –av –user@hostname::/dir/path /local/path

三种模式差异在几个分号 :

命令:

01 Rsync [-avrlptgoD] [-e ssh] [user@hostIP:/dir] [/local/path]
02
03 -v 观察模式,输出更多资讯
04
05 -q 与 –v 相反,仅显示错误信息
06
07 -r 递归复制,针对目录
08
09 -u 仅更新较新的文件
10
11 -l 复制连接的属性
12
13 -p 复制时保持属性不变
14
15 -g 保存原有群组
16
17 -o 保存原有拥有人
18
19 -D 保存原有装置属性
20
21 -t 保存原有时间属性
22
23 -I 忽略更新时间属性,档案比对较快
24
25 -z 加上压缩参数
26
27 -e 使用协议通道,例如ssh,-e ssh
28
29 -a 相对于-rlptgoD,所以-a最常用

3、安全问题:

rsync默认的端口是873,可以使用nmap扫描IP是否开放该端口。

1 nmap -n --open -p 873 x.x.x.x/24

找到开放端口后,查看时候可默认口令登陆。使用命令查看:

1 rsync -av x.x.x.x::

既然是同步文件,自然有选择查看、上传或者下载的能力,这要视权限设定。

运气好的情况下秒杀站点。

uc

详情可见WOOYUN案例:《网易某服务配置不当 导致2.2亿活跃用户敏感信息泄露》《赛迪网配置错误导致海量用户信息泄露 (260W数据)

4、安全配置注意事项

注意两种方式防御,一是限定访问的IP,另一个是不允许匿名访问,添加用户口令。

限定IP的两种方式

IPTables防火墙

给rsync的端口添加一个iptables。

只希望能够从内部网络(192.168.101.0/24)访问:

1 iptables -A INPUT -i eth0 -p tcp -s 192.168.101.0/24 --dport 873 -m state --state NEW,ESTABLISHED -j ACCEPT
2
3 iptables -A OUTPUT -o eth0 -p tcp --sport 873 -m state --state ESTABLISHED -j ACCEPT

除此之外rsyncd.conf中的hosts allow也可以设置只允许来源ip。

1 hosts allow = X.X.X.X #允许访问的IP

添加用户口令

添加rsync用户权限访问,注意配置的是rsyncd.conf中的:

1 secrets file /etc/rsyncd.secrets #密码文件位置,认证文件设置,设置用户名和密码
2
3 auth users rsync #授权帐号,认证的用户名,如果没有这行则表明是匿名,多个用户用,分隔。
文中若未特别声明转载请注明来自:91ri.org
标签: 无
返回文章列表 文章二维码
本页链接的二维码
打赏二维码