文章原文:https://tlanyan.pp.ua/use-rsync-daemon-to-sync-files-between-servers/
始终应用 rsync 命令在主机间疾速同步文件,例如定时 备份WordPress文件和数据库 到其余主机。
之前对 rsync 理解不深,始终应用 shell 形式同步文件。为了防止连贯时输出明码,便在多个主机间散发公钥。明天意识到这种做法有重大的平安问题:如果某台主机被黑,黑客能轻易漫游所有主机!
于是再次钻研 rsync,发现能够应用rsync daemon跨主机平安同步。
本文链接:https://tlanyan.pp.ua/use-rsync-daemon-to-sync-files-between-servers/
应用rsync daemon跨主机平安同步
rsync的三种工作模式
rsync 命令有三种用法,对应三种工作模式:
本机同步,相似于
cp命令:rsync [选项] SRC DEST;
shell近程同步,相似于scp命令:\# 近程主机文件同步到主机
rsync [选项] USER@HOST:SRC DEST
\# 本机文件同步到近程主机
rsync [选项] SRC USER@HOST:DESTdaemon近程同步:\# 近程主机文件同步到本地,可应用::或用rsync://指定daemon模式
rsync [选项] USER@HOST::SRC DEST
rsync [选项] rsync://USER@HOST/SRC DEST\# 本机文件同步到近程主机
rsync [选项] SRC USER@HOST::DEST
rsync [选项] SRC rsync://USER@HOST/DESTshell和daemon模式的区别是shell模式应用一个冒号:,而daemon模式应用两个冒号::或用rsync://显式指定。
前两种工作模式比较简单,间接输出源和指标门路即可进行数据同步。第三种用法辨别客户端和服务端,须要在服务端配置能力失常工作。
接下来咱们介绍应用daemon形式进行数据同步。
rsync daemon模式
相似于 V2ray,rsync 命令既能够用作客户端,也能够用作服务端。咱们平时用的 rsync 便是作为客户端应用,加上--daemon参数则变成服务端模式。
CentOS 7、Ubuntu/Debian零碎装置 rsync 后会主动配置好rsync服务,但在 CentOS 8 零碎中须要额定装置 rsync-daemon 包才会配置rsync服务:
\# Ubuntu/Debian装置rsync
sudo apt update
sudo apt install -y rsync
\# CentOS/RHEL装置rsync
sudo yum install -y rsync
\# CentOS 8装置rsync daemon
sudo yum install -y rsync-daemon
rsync daemon的默认配置文件是 /etc/rsyncd.conf,Ubuntu/Debian默认没创立。编辑 /etc/rsyncd.conf,写入相似以下内容(#号结尾的行是正文):
\# rsyncd.conf的配置项分全局参数和模块参数,全局参数只有少数几个,个别放弃默认即可
\# 模块以[模块名]结尾,后续参数仅作用于该模块
\# 卸载模块外的参数实用于所有模块
\# rsyncd.conf文件的指令和值请参考 man rsyncd.conf
\# 欢送文件
motd file = /etc/rsyncd.motd
\# 用户和组id
uid = root
gid = root
\# 是否chroot,出于平安思考倡议为yes
use chroot = yes
\# 是否记录传输记录
transfer logging = no
\# 是否只读,值为true时客户端无奈上传
read only = false
\# 是否只写,值为true时客户端无奈下载
write only = false
\# 默认回绝所有主机连贯
hosts deny = *
\# 用户名密码文件,每一行格局是:用户名:明码,例如
\# tlanyan:12343112
\# 该文件权限必须设置为600,除非strict mode设置为false
secrets file = /etc/rsyncd.secrets
\# 定义名为backup的模块
[backup]
\# 模块阐明
comment = backup directory
\# 模块门路,申请改成本人的
path = /data
\# 容许的主机ip
hosts allow = xx.xx.xx.xx
\# 容许的用户名
auth users = tlanyan
\# 是否容许列出该模块,倡议为no
list = no
上述配置文件中,/etc/rsyncd.motd 和 /etc/rsyncd.secrets需自行创立,例如:
\# 设置欢送标语
echo '欢送应用Rsync Daemon' > /etc/rsyncd.motd
\# 设置用户名和明码
echo 'tlanyan:12343112' >> /etc/rsyncd.secrets
\# 设置密码文件权限
chmod 600 /etc/rsyncd.secrets
而后启动rsync服务:
\# CentOS/RHEL
systemctl enable rsyncd
systemctl start rsyncd
\# Ubuntu/Debian的服务名为rsync
systemctl enable rsync
systemctl start rsync
rsync daemon默认监听873端口,开启了防火墙须要放行端口(阿里云/AWS/GCP等网页后盾有平安组,须要登录并放行):
\# 启用了firewalld的CentOS 7/8等零碎
firewall-cmd --permanent --add-port=873/tcp
firewall-cmd --reload
\# 启用了iptables的CentOS 7/8等零碎
iptables -I INPUT -p tcp --dport 873 -j ACCEPT
\# 启用了ufw的Ubuntu/Debian等零碎
ufw allow 873/tcp
应用rsync daemon同步文件
接下来,在受权的机器上应用受权用户同步文件:
rsync -avP 受权用户@服务器ip::backup /var/www/data/
连贯过程中须要输出rsyncd.secrets中的用户明码,也能够应用--password-file指定密码文件而无需每次手动输出:
\# 将明码写入文件
echo '12343112' > secrets
\# 设置密码文件权限
chmod 600 secrets
\# 免密同步文件
rsync -avP --password-file=secrets 受权用户@服务器ip::backup /var/www/data/
除了应用两个冒号::,其余应用形式与shell形式都雷同。
rsync daemon总结
应用rsync daemon,防止了跨主机同步时的安全隐患,并且能够指定受权ip和受权用户,实际中举荐应用。
参考
1. rsync复制文件的一些注意事项
2. rsync同步和备份文件到本地
3. WordPress备份计划和备份脚本
4. rsync 装置配置实际