nginx

关注公众号 jb51net

关闭
首页 > 网站技巧 > 服务器 > nginx > Nginx rsync免密码

Nginx rsync客户端免密方案详解

作者:難釋懷

在Nginx集群的日常运维中,rsync是我们同步静态资源、配置文件和日志的核心工具,本文将系统讲解两种主流的免密方案,帮助你根据实际场景做出最优选择,感兴趣的朋友跟随小编一起看看吧

一、引言:为什么“免密”是自动化的前提?

在 Nginx 集群的日常运维中,rsync 是我们同步静态资源、配置文件和日志的核心工具。然而,当我们将同步任务集成到 CI/CD 流水线、Ansible Playbook 或 Crontab 定时任务中时,一个致命的问题出现了:交互式密码输入会直接阻断自动化流程

没有免密机制,你的部署脚本就会卡在 Enter password: 提示符前,直到超时失败。因此,实现 rsync 客户端的免密认证,不是“锦上添花”,而是自动化运维的入场券

本文将系统讲解两种主流的免密方案,帮助你根据实际场景做出最优选择。

二、方案选型:SSH 密钥 vs Daemon 密码文件

在动手之前,先理清两种方案的本质区别:

对比维度SSH 密钥认证rsync Daemon + 密码文件
传输协议SSH(加密隧道)rsync 原生协议(TCP 873)
安全性⭐⭐⭐⭐⭐ 极高⭐⭐⭐ 中等(依赖网络隔离)
配置复杂度低(仅需 SSH 配置)中(需配置守护进程+两个密码文件)
性能开销有 SSH 加解密开销无额外加密,内网性能略优
适用场景跨公网、生产环境、通用场景可信内网、高频大文件同步、专用仓库
是否需要服务端额外服务否(复用 sshd)是(需运行 rsyncd)

📌 选型建议90% 的场景优先选择 SSH 密钥方案。除非你处于完全隔离的内网、对性能有极致要求,或已有现成的 rsync 中央仓库架构,否则不要引入 Daemon 模式的额外复杂度。

三、方案一:SSH 密钥免密(推荐)

这是最通用、最安全的方案,无需在服务端安装任何额外服务。

Step 1: 在客户端生成专用 SSH 密钥对

为 Nginx 同步任务创建独立的密钥,避免与个人登录密钥混用:

ssh-keygen -t ed25519 -C "nginx-rsync-sync" -f ~/.ssh/nginx_rsync_key -N ""

Step 2: 将公钥部署到服务端

使用 ssh-copy-id 一键部署(推荐):

ssh-copy-id -i ~/.ssh/nginx_rsync_key.pub deploy_user@192.168.1.100

如果服务器禁用了密码登录,可手动追加:

cat ~/.ssh/nginx_rsync_key.pub | ssh deploy_user@192.168.1.100 \
    "mkdir -p ~/.ssh && chmod 700 ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys"

Step 3: 验证免密连接

ssh -i ~/.ssh/nginx_rsync_key deploy_user@192.168.1.100 "echo 'SSH OK'"

如果直接返回 SSH OK 且无任何密码提示,说明配置成功。

Step 4: 在 rsync 中使用

rsync -avz -e "ssh -i ~/.ssh/nginx_rsync_key -o StrictHostKeyChecking=accept-new" \
    deploy_user@192.168.1.100:/data/web/ \
    /var/www/html/

🔒 安全加固(强烈建议)

在服务端的 ~/.ssh/authorized_keys 中,为该密钥添加限制:

command="rsync --server --sender -logDtprze.iLsfxCIvu . /data/web/",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty ssh-ed25519 AAAA... nginx-rsync-sync

这样即使私钥泄露,攻击者也只能执行指定的 rsync 命令,无法获得 Shell 访问权限。

四、方案二:rsync Daemon + 密码文件免密

适用于已搭建 rsync 中央仓库的内网环境。

Step 1: 服务端配置回顾

确保 /etc/rsyncd.conf 中模块已启用认证:

[nginx_assets]
    path = /data/nginx_assets
    auth users = nginx_sync
    secrets file = /etc/rsyncd.secrets
    read only = no
    hosts allow = 192.168.1.0/24

服务端密码文件格式为 用户名:密码,权限必须为 600

echo "nginx_sync:Str0ng!Pass#2026" | sudo tee /etc/rsyncd.secrets > /dev/null
sudo chmod 600 /etc/rsyncd.secrets

Step 2: 客户端创建密码文件

⚠️ 关键区别:客户端密码文件只包含密码,不含用户名!

echo "Str0ng!Pass#2026" > ~/rsync_nginx.pass
chmod 600 ~/rsync_nginx.pass

❗ 权限必须是 600!rsync 出于安全考虑,若检测到密码文件对其他用户可读,会直接报错并拒绝使用:
password file must not be other-accessible

Step 3: 执行免密同步

rsync -avz --password-file=~/rsync_nginx.pass \
    rsync://nginx_sync@192.168.1.100/nginx_assets/ \
    /var/www/html/

注意 URI 格式为 rsync://用户名@主机/模块名/,用户名必须与服务端 auth users 一致。

五、常见踩坑与排查清单

1. SSH 模式仍提示输入密码

2. Daemon 模式报 “password file must not be other-accessible”

# 修复权限
chmod 600 ~/rsync_nginx.pass
ls -la ~/rsync_nginx.pass  # 确认输出为 -rw-------

3. Daemon 模式报 “auth failed on module”

4. CI/CD 环境中 SSH 主机指纹验证失败

在流水线中使用 -o StrictHostKeyChecking=accept-new 而非 no,兼顾自动化与安全。首次运行后,主机指纹会被记录,后续若被篡改将自动拒绝连接。

六、Nginx 运维最佳实践

  1. 专用账户原则:永远不要用 root 或个人账号做 rsync 同步。创建专用的 deploy 或 nginx_sync 系统账户,最小化权限。
  2. 密钥轮换机制:定期(如每季度)轮换 SSH 密钥和密码文件中的密码,降低长期凭证泄露风险。
  3. 日志审计:在 rsync 命令中加入 --log-file=/var/log/rsync_nginx.log,记录每次同步的详细信息,便于故障追溯和安全审计。
  4. 结合 --dry-run 预检:在生产环境首次使用免密同步前,务必先加 --dry-run 验证,确认不会误删或覆盖关键文件。

七、结语

到此这篇关于Nginx-rsync客户端免密的文章就介绍到这了,更多相关Nginx rsync免密码内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:
阅读全文