Wie verschlüsselt man die rsync-Kommunikation? (rsyncd + stunnel, vs rsync über SSH usw.)


4

Ich weiß nicht viel über die Besonderheiten von Rsync, SSH, Stunnel usw., suche aber nach einer Möglichkeit, Rsync-Sicherungen durchzuführen, aber die Übertragung von Daten über das Netzwerk muss verschlüsselt sein (die Anmeldeinformationen und die Daten selbst) ). Es sieht so aus, als hätte ich zwei Möglichkeiten (habe ich mehr?):

  1. rsyncd + stunnel: Führen Sie einen rsync-Daemon auf dem Remotecomputer aus und richten Sie stunnel ein, um die Kommunikation zwischen ihnen zu verschlüsseln (wobei stunnel erforderlich ist, da rsyncd für sich selbst keine Verschlüsselung hat).
  2. rsync über SSH: Verwenden Sie einfach den regulären Befehl rsync und legen Sie SSH als Remote-Shell fest, um die Kommunikation zu verschlüsseln.

Welche Vor- und Nachteile hat jeder dieser Ansätze im Hinblick auf Sicherheit, Geschwindigkeit, Effizienz, einfache Verwaltung usw.?


Grundsätzlich gilt: 1. Es ist schwieriger, mehr Dinge zu verwalten und mehr Dinge zum Brechen bereitzustellen und / oder einen größeren Angriffsbereich bereitzustellen. auch 2. Die Verschlüsselungsstärke im Verhältnis zur Geschwindigkeit hängt umgekehrt zusammen.
Keith Reynolds

Antworten:


3

Ich denke, dies wird am Ende eine persönliche Präferenzantwort sein, aber ich bevorzuge die rsync + ssh-Lösung, weil

  1. ssh ist heutzutage immer installiert, aber stunnel ist nicht immer verfügbar.
  2. Ich muss keinen weiteren Dienst verwalten (ich verwalte bereits sshd)
  3. Alle meine Fehlerbehebungen werden in einem Terminalfenster durchgeführt, wenn ich sie benötige (-vvv auf ssh)

Ein Beispielbefehl rsync -av -e ssh user@host:/remote/dir /this/dir/

Schließlich haben Sie noch mindestens eine Option: ein VPN. Nachdem Sie es einmal eingerichtet haben, hat es den Vorteil, transparent zu sein, während Sie einfaches altes rsync und jede andere Maschine-zu-Maschine-Kommunikation verwenden, die Sie durchführen möchten. Ich habe dies zunächst als Problem angesehen, wenn eine der Maschinen gehackt ist, aber es unterscheidet sich nicht von der Verwendung von ssh / stunnel in dieser Hinsicht.


Man kann sogar in Betracht ziehen, die Verschlüsselung durch Ausführen der Verschlüsselungsschicht auf einem anderen Host zu deaktivieren, wenn die Übertragung zwischen Netzwerken und die Verschlüsselung in den lokalen Netzwerken kein Problem darstellt.
Keith Reynolds
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.