本文介绍了如何在CentOS7中利用rsync协议创建一个安全的同步源,避免频繁创建系统用户带来的风险。通过配置rsyncd.conf文件,设置权限和密码文件,实现上行和下行同步。在遇到权限问题时,需要调整服务权限和文件权限,如设置facl以允许nobody用户写入,并启用fake super选项解决报错。
二、基于rsync协议的同步源
在vsftpd中,有虚拟用户(管理员自定义的模拟用户),原因在于使用匿名用户和本地用户都不太安全。我们知道基于SSH协议的同步源必须要保证有一个系统的用户,当有许多的同步需求时,就可能需要创建许多的用户,这显然不符合Linux的运维标准(用户数越多,服务器越不安全)在rsync中,为了安全性考虑,就有了基于rsync协议的同步源。
具体怎么弄呢?
在配置文件中写入对应的参数以及值就可以了。在原先的老版本rsync中,需要手动创建/etc/rsyncd.conf这个文件,但是在Centos7中,这个文件已经从安装包中安装了出来,且有样板注释。
一眼看到这个样板,就发现和samba配置文件的基本没有什么大的区别。在samba配置文件中,我们有全局设置(Global Settings)以及共享设置(Share Definitions)。到了rsync这里,也是如此,需要定义一些参数以及值,如下图所示。密码文件的权限必须是600,否则就会报错。另外,官方手册说密码文件里的密码最好不要超过8位。
这边同步源已经配置完成,如下:
将服务启动:systemctl start rsyncd.service
查看端口:netstat -tulnp|grep 873
发起端下行同步:rsync -avz li@10.1.2.84::share /root/ ,成功。
发起端上行同步: rsync -avz /root/* li@10.1.2.84::share ,提示读取错误,如下图所示。在格式上,除了上面你可以写的:li@10.1.2.84::share这种形式,还有一个写法:rsync://li@10.1.2.84/share这种也是可以的。
和read only这个参数有关,需要更改为no,表示可读可写。重启rsync服务:systemctl restart rsyncd.service。接着上传同步,提示权限拒绝,如下图所示:
权限和samba、vsftpd一样,有两部分,一个是服务的权限要有,另外一个是系统的文件权限也要有。这里我只打开了服务的写权限,在文件权限那里,虚拟用户默认映射为系统的nobody用户(可手工指定其他的用户)。也就是说,我需要让nobody用户拥有写的权限才可以——setfacl -m u:nobody:rwx /rsync
继续发起端上行同步,报错,但是已经完成。如果你看这个报错不舒服,可在同步源服务器里加入这一行——fake super = yes。这是新版本必须添加的一个参数。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
