2020-02-26 Rsync服务安全

1. 利用软件自身参数实现安全复制

(1)Rsync服务的安全配置信息说明

hosts allow = 192.168.9.0/24
hosts deny = 0.0.0.0/32

拒绝或允许安全配置参数二选一进行配置,若同时设置,可能会造成安全策略设置冲突导致失效的情况。
在Rsync服务配置文件中,允许和阻止安全策略同时配置时,某些情况下会产生策略冲突问题,影响安全策略生效的预期结果。为避免这种情况出现,建议在生产环境中仅采用一种安全策略进行配置,不要白名单(hosts allow)和黑名单(hosts deny)两个参数同时配置。
1)只有白名单进行配置的时候,黑名单需要进行注释,默认不匹配白名单的访问都将被阻止。
2)只有黑名单进行配置的时候,白名单需要进行注释,默认不匹配黑名单的访问都将被允许。
3)既有白名单进行配置又有黑名单进行配置的时候,都不匹配的访问将默认允许,如果白名单和黑名单都匹配,白名单策略优先于黑名单策略。

(2)Rsync服务控制网段访问实践
1)服务端的拒绝和允许配置如下:

[root@backup ~]# grep -w hosts /etc/rsyncd.conf
hosts allow = 192.168.8.0/24
hosts deny = 0.0.0.0/32

2)此时在客户端执行复制操作,使用192.168.9.5网段IP进行复制操作,发现依然没有问题。

[root@nfs01 data]# rsync -avz /data [email protected]::data
Password: 
sending incremental file list
sent 86 bytes  received 25 bytes  8.22 bytes/sec
total size is 0  speedup is 0.00
# 发现是可以的,说明192.168.9.0/24这个网段没有被拒绝访问

3)删除hosts deny所在的行配置:

[root@backup ~]# sed -i.ori '/.*hosts deny.*/d' /etc/rsyncd.conf
[root@backup ~]# grep -w hosts /etc/rsyncd.conf
hosts allow = 192.168.8.0/24

4)此时在客户端执行复制操作,使用192.168.9.5网段IP执行复制操作,发现无法复制了。

[root@nfs01 data]# rsync -avz /data [email protected]::data
@ERROR: Unknown module 'data'
rsync error: error starting client-server protocol (code 5) at main.c(1648) [sender=3.1.2]

2. 配置防火墙实现安全控制

配置Iptables防火墙允许Rsync服务,根据Rsync服务运行的端口信息,即Rsync服务运行在873/tcp端口上。

[root@backup ~]# netstat -lnt | grep 873
tcp        0      0 0.0.0.0:873             0.0.0.0:*               LISTEN     
tcp6       0      0 :::873                  :::*                    LISTEN

在生产环境下,防火墙规则默认禁止所有的前提下可以配置如下3行,允许Rsync在可信任的环境内通信,加入到/etc/sysconfig/iptables中,然后重启Iptables使之生效。

-A INPUT -s 124.42.63.99/27 -p tcp -m tcp --dport 873 -j ACCEPT
# 允许固定的办公网发布程序传输同步
-A INPUT -s 192.168.1.0/255.255.255.0 -p tcp -m tcp --dport 873 -j ACCEPT
# 允许IDC内网网段间连接传输同步
-A INPUT -s 203.81.19.0/255.255.255.0 -p tcp -m tcp --dport 873 -j ACCEPT
# 允许IDC内网网段间连接传输同步

你可能感兴趣的:(2020-02-26 Rsync服务安全)