nginx

关注公众号 jb51net

关闭
首页 > 网站技巧 > 服务器 > nginx > Nginx rsync密码文件

Nginx rsync密码文件的实战攻略

作者:難釋懷

本文详细介绍了rsync Daemon模式下的密码文件配置方法,包括服务端SecretsFile和客户端PasswordFile的配置步骤,强调了文件权限设置的重要性,并并对比了rsyncDaemon模式与SSH模式的在安全性、配置复杂度和适用场景上的差异,感兴趣的朋友一起看看吧

一、引言:自动化同步的“最后一公里”

在 Nginx 运维中,我们常使用 rsync 来同步静态资源或配置文件。为了实现完全自动化(例如,在 CI/CD 流水线或定时任务中),我们必须解决一个问题:如何让 rsync 在无人值守的情况下自动提供密码

手动输入密码显然行不通。rsync 提供了两种主要的免密方案:

  1. SSH 模式:通过配置 SSH 公钥认证。
  2. Daemon 模式:通过配置 rsync 守护进程和专用的密码文件

本文将聚焦于第二种方案——密码文件(Password File)的配置与使用。虽然 SSH 模式更常见,但在某些内部网络或特定架构下,rsync Daemon 模式因其轻量和高效而被采用,此时密码文件就是关键。

二、核心概念:两种密码文件

在 rsync Daemon 模式下,存在两种密码文件,分别位于服务端客户端,作用截然不同。

1. 服务端密码文件(Secrets File)

# /etc/rsyncd.secrets
nginx_sync:MySecurePass123!
backup_user:AnotherPass456@

2. 客户端密码文件(Password File)

# ~/rsync.pass
MySecurePass123!

✅ 重要区别:服务端文件是 用户:密码,客户端文件只有密码

三、实战:从零配置 rsync 密码认证

假设我们有两台服务器:

Step 1: 在服务端配置 rsync 守护进程

创建服务端密码文件

sudo vim /etc/rsyncd.secrets

内容如下:

nginx_sync:MySecurePass123!

设置严格的文件权限
这是安全的关键!密码文件必须仅对 root 可读。

sudo chmod 600 /etc/rsyncd.secrets
sudo chown root:root /etc/rsyncd.secrets

编辑主配置文件 /etc/rsyncd.conf

# 全局设置
uid = nobody
gid = nobody
use chroot = yes
read only = no
hosts allow = 192.168.1.0/24
hosts deny = *
max connections = 5
pid file = /var/run/rsyncd.pid
lock file = /var/run/rsync.lock
log file = /var/log/rsync.log
# 定义一个名为 'nginx_conf' 的模块
[nginx_conf]
    path = /data/nginx_configs
    comment = Nginx Configuration Repository
    auth users = nginx_sync               # 指定允许访问的用户
    secrets file = /etc/rsyncd.secrets    # 指向服务端密码文件

启动 rsync 服务

# CentOS/RHEL
sudo systemctl start rsyncd
sudo systemctl enable rsyncd
# Ubuntu/Debian (可能需要先安装)
sudo systemctl start rsync
sudo systemctl enable rsync

Step 2: 在客户端配置密码文件并测试

创建客户端密码文件
在客户端(192.168.1.101)上操作:

vim ~/rsync.pass

内容只有一行

MySecurePass123!

同样设置严格的文件权限

chmod 600 ~/rsync.pass

执行同步命令

# 从服务端拉取 nginx_conf 模块的内容到本地 /tmp 目录
rsync -av \
    --password-file=~/rsync.pass \
    rsync://nginx_sync@192.168.1.100/nginx_conf/ \
    /tmp/nginx_configs/

--password-file:指定客户端密码文件。

rsync://user@host/module/rsync Daemon 模式的标准 URI 格式。

如果命令成功执行且没有提示输入密码,说明配置完全正确!

四、关键安全注意事项

五、与 SSH 模式的对比

特性rsync Daemon + 密码文件rsync over SSH
安全性依赖密码强度和网络隔离基于 SSH 密钥,安全性极高
配置复杂度需要配置守护进程和两个密码文件只需配置 SSH 公钥
性能略高(无 SSH 加解密开销)略低(有加解密开销)
适用场景内部高速、可信网络所有场景,尤其是跨公网

📌 建议:除非有明确的性能要求或特殊架构限制,优先选择 rsync over SSH 模式,它更简单、更安全。

六、结语

到此这篇关于Nginx rsync密码文件的实战攻略的文章就介绍到这了,更多相关Nginx rsync密码文件内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:
阅读全文