2020-02-26 Rsync服务安全

1. 利用软件自身参数实现安全复制

（1）Rsync服务的安全配置信息说明

hosts allow = 192.168.9.0/24
hosts deny = 0.0.0.0/32

拒绝或允许安全配置参数二选一进行配置，若同时设置，可能会造成安全策略设置冲突导致失效的情况。
在Rsync服务配置文件中，允许和阻止安全策略同时配置时，某些情况下会产生策略冲突问题，影响安全策略生效的预期结果。为避免这种情况出现，建议在生产环境中仅采用一种安全策略进行配置，不要白名单（hosts allow）和黑名单（hosts deny）两个参数同时配置。
1）只有白名单进行配置的时候，黑名单需要进行注释，默认不匹配白名单的访问都将被阻止。
2）只有黑名单进行配置的时候，白名单需要进行注释，默认不匹配黑名单的访问都将被允许。
3）既有白名单进行配置又有黑名单进行配置的时候，都不匹配的访问将默认允许，如果白名单和黑名单都匹配，白名单策略优先于黑名单策略。

（2）Rsync服务控制网段访问实践
1）服务端的拒绝和允许配置如下：

[root@backup ~]# grep -w hosts /etc/rsyncd.conf
hosts allow = 192.168.8.0/24
hosts deny = 0.0.0.0/32

2）此时在客户端执行复制操作，使用192.168.9.5网段IP进行复制操作，发现依然没有问题。

[root@nfs01 data]# rsync -avz /data [email protected]::data
Password: 
sending incremental file list
sent 86 bytes  received 25 bytes  8.22 bytes/sec
total size is 0  speedup is 0.00
# 发现是可以的，说明192.168.9.0/24这个网段没有被拒绝访问

3）删除hosts deny所在的行配置：

[root@backup ~]# sed -i.ori '/.*hosts deny.*/d' /etc/rsyncd.conf
[root@backup ~]# grep -w hosts /etc/rsyncd.conf
hosts allow = 192.168.8.0/24

4）此时在客户端执行复制操作，使用192.168.9.5网段IP执行复制操作，发现无法复制了。

[root@nfs01 data]# rsync -avz /data [email protected]::data
@ERROR: Unknown module 'data'
rsync error: error starting client-server protocol (code 5) at main.c(1648) [sender=3.1.2]

2. 配置防火墙实现安全控制

配置Iptables防火墙允许Rsync服务，根据Rsync服务运行的端口信息，即Rsync服务运行在873/tcp端口上。

[root@backup ~]# netstat -lnt | grep 873
tcp        0      0 0.0.0.0:873             0.0.0.0:*               LISTEN     
tcp6       0      0 :::873                  :::*                    LISTEN

在生产环境下，防火墙规则默认禁止所有的前提下可以配置如下3行，允许Rsync在可信任的环境内通信，加入到/etc/sysconfig/iptables中，然后重启Iptables使之生效。

-A INPUT -s 124.42.63.99/27 -p tcp -m tcp --dport 873 -j ACCEPT
# 允许固定的办公网发布程序传输同步
-A INPUT -s 192.168.1.0/255.255.255.0 -p tcp -m tcp --dport 873 -j ACCEPT
# 允许IDC内网网段间连接传输同步
-A INPUT -s 203.81.19.0/255.255.255.0 -p tcp -m tcp --dport 873 -j ACCEPT
# 允许IDC内网网段间连接传输同步