家にはNetgear Readynas NV +(NAS)があり、職場には常にオンになっているLinux(Arch)ボックスがあります。 Linuxボックスにはすでにsshサーバー/デーモンが実行されており、NASにはすでにrsyncサーバー/デーモンが実行されています。 NAS は SSH 経由の rsync をサポートしていません。私が理解したのは、ホームルーターでポート転送を有効にして、LinuxボックスがNASとrsyncを起動できるようにすること、またはLinuxボックスでrsyncサーバーを有効にし、NASが同期を開始できるようにすることです。私のホームルーターには固定IPアドレスがないので、Linuxボックスでrsyncサーバーを実行することを好みます。
一つの方法は他の方法よりも安全ですか?これを行うには深刻なセキュリティ上の欠陥がありますか?
答え1
すでに設定されている内容に従い、workboxのsshがすでに公開/モニタリング/サポート/監査サービスである場合は、そのサービスを介してrsyncを試してください。通常、新しいポート/サービスを開かないことが最も安全です。開いていない安全でないプロトコルオンラインにアクセスするとより良いです =)
あなたは得ることができますSSHアクセスReadyNasに連絡してください(Netgearから「ナスを削除しました」というサポート電話を受けるのに問題があっても問題ありません)。これにより、rsync -e sshコマンドラインで他のものを設定する必要はありません。認証、回線セキュリティ、およびユーザー/ファイル権限はすべて、WorkboxのSSH /リモートシェル設定によって提供されます。
ホームネットワークでSSHを有効にするには:
動的IPの煩わしさは、以下を実行することで解決できます。動的ドメイン名の解決提供する。
ワークボックスの認定IPへのポートアクセスを制限します。
一部のルータでは、NAT ルールに送信元 IP を設定できます。
SSH は、次の方法でセキュリティを維持できます。iptablesそしてもっと
DarkHeartが述べたように、安全でないネットワークを介したrsyncはそれ自体は良い考えではありません。言及されたトンネルとVPNは良いソリューションです。上記のSSHトンネルの状態を維持することができます自動SSH。両端にアクセスできる人に基づいてトンネルを保存するには、いくつかのrsyncセキュリティに頼る必要があります。
また、まだそうしていない場合は、現在やっていることについて誰かに話してください。ネットワークに入って来るデータについて詳しく説明します。すべてが間違っている場合は、どのデータが公開される可能性があるかを考えてください。どこかにプロセスを文書化します。
答え2
Rsync自体はデータをプレーンテキストで送信します。したがって、どちらも安全ではありません。 SSHトンネルを使用するかVPNを設定する必要があります。 SSHを介してNASにまったくアクセスできない場合は、「自宅」の3番目のサーバーを使用してあるサーバーから別のサーバーにトンネリングできます。たとえば、
ssh HOME_PC_WITH_SSH -L 873:NAS_SERVER:873
そうでない場合は、職場のコンピュータを使用してホームVPNにログインしてください。
あなたの質問に答えるには:ポートを開くのを避けることができれば、それがより安全であると言いたいと思います。
答え3
あなたのシーンは難しいです。一般に、脅威の低いゾーンから脅威の高いゾーンへの接続(つまり、内部ネットワークからDMZへ)を開くことに問題はありません。脅威に対してより脆弱なシステムは、接続が開いているシステムです。インターネットへのサービス/ポート(これは自動転送にのみ適用されます。Webクライアント接続を介して攻撃を受ける可能性があることを私たち全員が知っているように)。
私は仕事の機械が家の機械への接続を開くべきであると言いたいと思います(これが職場で正当であることを願っています)。ポートノック家のコンピュータで。自宅のコンピュータでターゲットポートを開く順序は、会社のコンピュータに保存する必要があります。そして毎回使用後は順序を変えなければなりません。