servidor rsync / segurança do daemon

Navegue suas respostas
4

Eu tenho um NAS (Netgear Readynas NV +) em casa e uma caixa Linux (Arch) no trabalho que está sempre ativa. A caixa linux já está executando um servidor / daemon ssh e o NAS já está executando um servidor / daemon rsync. O NAS não suporta rsync sobre ssh. A maneira que eu entendo é que eu posso habilitar o encaminhamento de porta em meu roteador doméstico para permitir que minha caixa de linux inicie um rsync com o NAS ou eu possa habilitar um servidor rsync na caixa linux e permitir que o NAS inicie a sincronização. Como meu roteador doméstico não tem um endereço IP estático, estou inclinado a executar um servidor rsync na caixa linux.

É um caminho mais seguro que outro? Existem grandes desvantagens de segurança em fazer isso?

    
por StrongBad 05.11.2012 / 12:18

3 respostas

8

Vá com o que já está configurado, se o ssh na caixa de trabalho já for um serviço aberto / monitorado / suportado / auditado, tente fazer o rsync via isso. Não abrir novos portos / serviços é geralmente mais seguro. Não abrir protocolos inseguros para a internet é ainda melhor =)

Você pode obter acesso ssh ao ReadyNas (se você não se incomodar com algum problema da Netgear no evento de uma chamada de suporte "i deleted my nas"). Então rsync -e ssh da linha de comando que não deixa mais nada para configurar. Autenticação, segurança de rede e permissões de usuário / arquivo são todas fornecidas pela configuração de shell ssh / remote na caixa de trabalho.

Para abrir o ssh em sua rede doméstica:

  • Os aborrecimentos de IP dinâmico podem ser cobertos pela execução de um serviço gratuito DNS dinâmico .

  • Restringir o acesso à porta para o IP público da sua caixa de trabalho.
    Alguns roteadores permitem que você defina um IP de origem na regra NAT.
    O SSH pode ser protegido com iptables e more

Como DarkHeart mencionou, o rsync sozinho em uma rede insegura não é uma boa idéia. O túnel e vpn mencionado é um bom trabalho ao redor. Você pode manter o túnel ssh acima mencionado com autossh . Você pode querer depender de alguma segurança rsync se você quiser deixar um túnel dependendo de quem mais tiver acesso a um dos dois lados.

Além disso, se você ainda não o fez, discuta o que você está fazendo com alguém. Detalhe quais dados estão entrando / saindo da rede. Pense em quais dados podem ser excluídos se tudo der errado. Documente seu processo em algum lugar.

    
por 30.11.2012 / 20:46
5

O rsync, por si só, transmite dados em texto não criptografado. Então, qualquer um dos caminhos será inseguro. Você precisa usar o tunelamento SSH ou configurar uma VPN. Se você não tiver acesso SSH ao NAS, poderá usar um terceiro servidor em 'home' para fazer o tunel de um para o outro. por exemplo: 

 ssh HOME_PC_WITH_SSH -L 873:NAS_SERVER:873

Caso contrário, use seu computador de trabalho para fazer login na VPN da sua casa.

Para responder à sua pergunta: eu diria que, se você puder evitar a abertura de portas, isso seria mais seguro.

    
por 30.11.2012 / 15:53
1

Seu cenário é difícil. Normalmente, não há problema em abrir uma conexão de uma zona de baixa ameaça para uma zona de alta ameaça (ou seja, de uma rede interna em direção a uma dmz) - o sistema que está mais em risco de ser comprometido é aquele com serviços / portas para a internet (isso só é verdade para transferências automatizadas - já que todos nós sabemos que podemos ser atacados através de nossas conexões web-cliente).

Eu diria que a máquina de trabalho deve abrir uma conexão para sua máquina doméstica (espero que isso seja legal em seu trabalho) - e usar uma técnica chamada port-knocking na sua máquina doméstica. A sequência para abrir a porta de destino em sua máquina doméstica deve ser armazenada em sua máquina de trabalho. E você deve mudar essa sequência após cada uso.

    
por 05.12.2012 / 21:53

Tags

Dividir stdin por linhas Saída de 'java -version' não correspondida por grep ou awk