LinuxTools---Rsync---原理及其应用(二)

   上篇博文 《LinuxTools---Rsync---原理及其应用(一) 》中已经了解了rsync这个工具的原理以及基于SSH备份源的rsync远程备份的搭建,下面将介绍有关rsync备份源。


rsync不仅仅用作远程同步的发起端(客户端),也可以作为守护进程运行,为其他客户机提供备份源,配置rsync备份源需要建立配置文件rsync.conf,创建备份账户,然后将rsync程序以”- -daemon”选项运行。

建立/etc/rsyncd.conf配置文件:

配置文件rsyncd.conf位于/etc/目录下,需自行建立,配置内容的格式与samba服务器类似,具体可以参考man手册页,下面将以源目录/var/www/html、备份账号backupuser为例,介绍其配置方法。

在备份源服务器上创建rsyncd.conf文件。该文件要手工创建。


rsync配置文件介绍:

全局参数:对整个rsync服务器生效,如果模块参数和全局参数冲突,针对冲突模块的模块参数生效

模块参数:定义需要通过rsync输出的目录定义的参数

下面是常见的全局配置参数,

port    #→指定后台程序使用的端口号,默认为873。
uid    #→该选项指定当该模块传输文件时守护进程应该具有的uid,配合gid选项使用可以确定哪些可以访问怎么样的文件权限,默认值是" nobody"。
gid    #→该选项指定当该模块传输文件时守护进程应该具有的gid。默认值为" nobody"。
max connections    #→指定该模块的最大并发连接数量以保护服务器,超过限制的连接请求将被告知随后再试。默认值是0,也就是没有限制。
lock file    #→指定支持max connections参数的锁文件,默认值是/var/run/rsyncd.lock。
motd file    #→" motd file"参数用来指定一个消息文件,当客户连接服务器时该文件的内容显示给客户,默认是没有motd文件的。
log file    #→" log file"指定rsync的日志文件,而不将日志发送给syslog。
pid file    #→指定rsync的pid文件,通常指定为“/var/run/rsyncd.pid”,存放进程ID的文件位置。
hosts allow =     #→单个IP地址或网络地址   //允许访问的客户机地址

下面是常见的模块配置参数

主要是定义服务器哪个目录要被同步输出。

其格式必须为“[共享模块名]”形式,这个名字就是在rsync客户端看到的名字,其实有点象Samba服务器提供的共享名。而服务器真正同步的数据是通过path来指定的。

Comment   #→给模块指定一个描述,该描述连同模块名在客户连接得到模块列表时显示给客户。默认没有描述定义。
Path   #→指定该模块的供备份的目录树路径,该参数是必须指定的。
read only   #→yes为只允许下载,no为可以下载和上传文件到服务器
exclude   #→用来指定多个由空格隔开的多个文件或目录(相对路径),将其添加到exclude列表中。这等同于在客户端命令中使用―exclude或----filter来指定某些文件或目录不下载或上传(既不可访问)
exclude from   #→指定一个包含exclude模式的定义的文件名,服务器从该文件中读取exclude列表定义,每个文件或目录需要占用一行
include   #→用来指定不排除符合要求的文件或目录。这等同于在客户端命令中使用--include来指定模式,结合include和exclude可以定义复杂的exclude/include规则。
include from   #→指定一个包含include模式的定义的文件名,服务器从该文件中读取include列表定义。
auth users   #→该选项指定由空格或逗号分隔的用户名列表,只有这些用户才允许连接该模块。这里的用户和系统用户没有任何关系。如果" auth users"被设置,那么客户端发出对该模块的连接请求以后会被rsync请求challenged进行验证身份这里使用的challenge/response认证协议。用户的名和密码以明文方式存放在" secrets file"选项指定的文件中。默认情况下无需密码就可以连接模块(也就是匿名方式)。
secrets file   #→该选项指定一个包含定义用户名:密码对的文件。只有在" auth users"被定义时,该文件才有作用。文件每行包含一个username:passwd对。一般来说密码最好不要超过8个字符。没有默认的secures file名,注意:该文件的权限一定要是600,否则客户端将不能连接服务器。
hosts allow   #→指定哪些IP的客户允许连接该模块。定义可以是以下形式:
    单个IP地址,例如:192.167.0.1,多个IP或网段需要用空格隔开,
    整个网段,例如:192.168.0.0/24,也可以是192.168.0.0/255.255.255.0
“*”则表示所有,默认是允许所有主机连接。
hosts deny   #→指定不允许连接rsync服务器的机器,可以使用hosts allow的定义方式来进行定义。默认是没有hosts deny定义。
list   #→该选项设定当客户请求可以使用的模块列表时,该模块是否应该被列出。如果设置该选项为false,可以创建隐藏的模块。默认值是true。
Timeout   #→通过该选项可以覆盖客户指定的IP超时时间。通过该选项可以确保rsync服务器不会永远等待一个崩溃的客户端。超时单位为秒钟,0表示没有超时定义,这也是默认值。对于匿名rsync服务器来说,一个理想的数字是600。

创建rsyncd.conf文件:

wKiom1M4CfnSpZ_qAAAo-ey26lw356.jpg

配置文件内容如下:

wKioL1M4CdTDlrY_AAF3nQNoD4E658.jpg


注:如果以"use chroot = no"选项运行可写的rsync守护程序的话,攻击者就可能通过诱骗rsync在模块之外创建文件,所以出于安全考虑,建议将该选项设置为yes。

基于安全性考虑,对于rsync的备份源最好仅允许以只读方式做下行同步,若确实需要做上行同步时,建议改用SSH备份源。另外,下行备份可以采用匿名的方式,只要将其中的”auth  users”和”secrets  file”配置记录去掉就可以了。


为备份账户创建数据文件:

根据上一步的设置,创建账号数据文件,添加一行用户记录,以冒号分隔,用户名称为backupuser,密码为pwd123。由于账号信息采用明文存放,因此应调整文件权限,避免账号信息泄露。
wKiom1M4Cf3iEpiRAAAqFMcajDA260.jpg


在该文件中添加用户名和密码

wKioL1M4CdXD6-dxAAAT8lYvNow415.jpg


设置rsyncd_users.db文件的权限为700600,权限设置不对的话身份验证会失败

wKioL1M4CdWTwDazAAA1wMft2o8083.jpg


与配置SSH备份源类似,备份用户backuper也需要对源目录/var/www/html/有相应的读取权限。实际上只要other组有读取权限,则备份用户backuper和运行用户nobody也就有了读取权限了。


启动rsync服务程序,执行”rsync  --daemon”命令就可以启动rsync服务,以独立监听服务的方式运行,若要关闭rsync服务,可以采用kill进程的方式。

wKioL1M4CeLB583rAADGHEDyN4k340.jpg


”rsync  --daemon”保存到/etc/rc.local文件中,确保系统启动后自动启动rsync服务。

wKioL1M4CdjRnch8AAAy2-FMoNQ387.jpg


上面启动rsync服务程序是通过”rsync  --daemon”方式启动rsync服务。考虑到异地备份的特性,通常并不需要全天不间断运行,最好只是在有客户机连接的时候才启用,因此可以将rsync交给超级服务xinetd管理,只要修改相应配置并启动xinetd服务,就可以提供rsync服务了。也就是当xinetd服务接收到客户端的同步请求后,会把rsync同步请求转给rsync程序。


配置方法:

wKioL1M4CdjBV9UOAABd2T6xpVU502.jpg


wKiom1M4CgHCrwGgAADUltMpOsc910.jpg

修改后内容如下:

注:将disable = yes改为no;确信有- -daemon服务选项.


安装xinetd服务软件包:

wKiom1M4CgLg1JcXAABLobgLi2k741.jpg


启动xinetd服务:

wKioL1M4CdyT9rJoAABul18h160131.jpg


至此rsync备份源配置完毕,下面使用rsync备份工具实现备份操作。

格式1:rsync 选项用户名@备份源服务器IP::共享模块名目标目录

格式2:rsync 选项  rsync://用户名@备份源服务器IP/共享模块名目标目录

在客户机上执行rsync命令实现下行同步操作:

wKiom1M4CgSRnwp8AAEmVOJVa1g055.jpg


wKioL1M4Cd3gEBIxAAEr8h9KCUg563.jpg


编写rsync备份脚本:

rsync备份源的无交互验证,对于rsync备份源来说,可使用环境变量RSYNC_PASSWORD来存放密码。执行rsync备份任务时,会自动读取该变量,并在需要时发送给rsync源服务器来进行验证。如下所示:

wKiom1M4CgvgfRSFAAEy5YH8arM506.jpg

wKioL1M4Cd6TrOvgAABLTqGJGb4716.jpg


Rsync备份脚本如下:

wKioL1M4CeOxb5BGAAA_28_3LLc706.jpg


内容如下

wKiom1M4CgeTx2BRAACt5nIVPms804.jpg


对建好的备份脚本设置适当权限:

wKiom1M4CgjBa020AAA961_JqeQ294.jpg


设置计划任务,在crond计划任务中按指定计划执行脚本。

到此rsync备份源配置完毕。

由于篇幅过长,影响各位看官阅读质量,故将"rsync+inotify实时同步"放到下篇博文中进行介绍.




你可能感兴趣的:(备份,同步,xinetd,rsync)