Насколько небезопасно использовать rsync в режиме демона без ssh?

Question

Как мы знаем, мы можем использовать rsync через ssh для отправки файлов между компьютерами, особенно в другой сети (например, в Интернете), для осуществления некоторых безопасных передач. (верно, и мы все согласны с этим)

и, как мы знаем, rsync не обеспечивает никакой безопасности при передаче данных обычным способом, поэтому мы используем ssh в качестве прикрытия.

Итак, идея!.

Если мы используем rsync в режиме демона (например, на сервере резервного копирования linux, расположенном в Англии), и мы начинаем резервное копирование данных с компьютеров linux (например, из Франции), используя линию Интернета без использования ssh (просто используйте обычный опция демона rsync)

пример:

rsync -vazi --progress source rsync://user@england-server.example.com/somefolder/

Так что вопрос

Как вы думаете, это безопасный способ?

если нет, то может ли кто-нибудь узнать, что мы передаем и какое содержимое файлов мы передаем?.

также есть ли шанс перехватить пароль, который мы ввели, когда rsync запросит пароль пользователя rsync?

Я знаю, что использование ssh или stunnel более безопасно. но на самом деле я хочу узнать больше о том, почему это небезопасно при использовании обычного способа, особенно когда мы пересылаем данные между компьютерами через Интернет.

и спасибо за любые ответы.

Answer 1

Rsync транзакции без SSH небезопасны, так как протокол и само программное обеспечение не включают шифрование содержимого.Поэтому, если в середине есть человек, он может прочитать / скопировать то, что вы копируете.Аутентификацию также можно прочитать.

Вам следует рассмотреть возможность использования SSH или VPN между вашей производственной и резервной сетью.

Answer 2

Когда вы используете SSH, вы получаете не только конфиденциальность, но и аутентификацию.

Конфиденциальность гарантирует, что никто не увидит ваши данные при их отправке через Интернет.Аутентификация гарантирует, что вы на самом деле подключены к нужному серверу (человек в середине атаки, как упомянуто fyr).Если ваши данные не так важны, вы можете сказать что-то вроде «Эй, никто не собирается красть мои данные, это не так важно».

Проблема безопасности, которая меня действительно беспокоит, - это отсутствие аутентификации, когда вы просто выполняете rsync без аутентификации.Это означает, что любой может подключиться и отправить данные на ваш компьютер или с него.Представьте, что кто-то сидит где-то между серверами и видит неаутентифицированное соединение, записывающее данные через rsync.Теперь они знают, как зайти на ваш сервер, получить дамп и получить информацию.Вы только что создали бесплатный анонимный дамп файла для всех.Это может показаться не большой проблемой, пока люди не начнут использовать его в незаконных целях или просто сбросить вирус / руткит на вашу машину.

По моему мнению, нет уровня риска 1-10, который может количественно оценить этот рискЭто просто недопустимо.Требуется только сканирование порта, чтобы увидеть, что порт открыт, и сценарий может обнаружить уязвимость.

Answer 3

вы также можете использовать «hosts allow = xxx.xxx.xxx.xxx» в модуле rsyncd.con. После того, как злоумышленник получит в руки имя пользователя / пароль, он разрешит соединение только с данного хоста.