我们知道我们可以通过ssh使用rsync在计算机之间发送文件,特别是在不同的网络(例如Internet)中,以便进行一些安全的传输。 (这是正确的,我们都同意)
正如我们所知,rsync在使用普通方式传输数据时不提供任何安全性,因此我们使用ssh作为封面。
所以这个想法!。
如果我们在守护进程模式下使用rsync(例如在位于英格兰的linux备份服务器上),我们开始使用互联网线路从Linux计算机(例如来自法国)备份数据而不使用ssh(只需使用正常情况) rsync守护程序选项)
示例:
rsync -vazi --progress source rsync://user@england-server.example.com/somefolder/
所以问题是
你认为这是一种安全的方式吗?如果没有,是否有人可以知道我们正在传输什么以及我们传输的文件内容是什么?。
还有机会捕获rsync提示输入rsync用户密码时输入的密码吗?
我知道使用ssh或stunnel更安全。但我真的想知道更多关于为什么它在使用正常方式时是安全的,特别是当我们是因特网上的计算机之间的rsync数据时。
并感谢您的回答。
答案 0 :(得分:3)
没有SSH的Rsync事务是不安全的,因为协议和软件本身不包含任何内容加密。因此,如果中间有一个人,他可以阅读/复制你要备份的内容。也可以阅读身份验证。
您应该考虑在生产网络和备份网络之间使用SSH或VPN。
答案 1 :(得分:2)
当您使用SSH时,您不仅可以获得机密性,还可以获得身份验证。
保密性可确保没有人能够通过互联网查看您的数据。身份验证可确保您实际连接到正确的服务器(中间人攻击中提到的fyr)。如果您的数据不是那么重要,您可能会说“嘿,没有人会窃取我的数据,这并不重要”。
真正让我担心的安全问题是在没有身份验证的情况下执行rsync时缺少身份验证。这意味着任何人都可以连接到您的计算机或从您的计算机发送数据。想象一下,有人坐在服务器之间的任何地方,他们看到一个未经身份验证的连接通过rsync写入数据。现在,他们知道如何登录您的服务器并转储和检索信息。您刚刚为每个人创建了一个免费的匿名文件转储。在人们开始将其用于非法目的,或者只是将病毒/ rootkit转储到您的计算机上之前,这似乎不是一个大问题。
在我看来,没有风险等级1-10可以量化这种风险,这是完全不可接受的。只需端口扫描即可查看该端口是否已打开,然后脚本可能会发现该漏洞。
答案 2 :(得分:-1)
您还可以在rsyncd.con模块中使用“hosts allow = xxx.xxx.xxx.xxx”。即使攻击者获得了用户/密码,它也只允许来自给定主机的连接。