CentOS环境下rsync的配置和使用

=Start=

缘由：

需要给其它组的同事提供审计日志的安全存储功能，安全存储一方面是保证日志的安全和不可篡改，另一方面就是保证日志的不可丢失。保证日志的安全和不可篡改咱们以后再说，这里主要说一下如何保证日志的不可丢失的方法――异地备份，主要用到的是rsync在不同机器之间进行审计日志的异地备份存储，以防止在一台机器宕掉的情况下审计日志不丢失。

正文： 参考解答： 什么是rsync

rsync(remote synchronize)――是一个linux下用于实现远程同步功能的软件，可通过LAN/WAN快速同步多台主机间的文件。在同步文件时，可以保持源文件的权限、时间、软硬链接等附加信息。它使用所谓的“Rsync演算法”来使本地和远程两个主机之间的文件达到同步，这个算法只传送两个文件的不同部分，而不是每次都整份传送，因此速度相当快，常被用于在内网进行源代码的分发及同步更新 & 数据备份工具。可以参考下面几篇文章了解一下什么是rsync以及它有哪些特性：

rsysnc的特性
https://rsync.samba.org/features.html rsync 的核心算法
http://coolshell.cn/articles/7425.html rsync的安装

rpm -qa | grep rsync yum info rsync sudo yum install rsync

rsync的配置

可能我们通过上面的方式安装好rsync后，并没有发现它的配置文件，以及启动程序，因为每个管理员对rsync的使用可能不一样，所以一般的发行版只是安装好软件就完事了，让管理员来根据自己的用途和方向来自己配置rsync服务。因为rsync的应用范围比较广，能在同一台主机进行备份工作，还能在不同主机之间进行工作。在不同主机之间的进行备份，是必须架设rsync服务器的。

sudo mkdir -p /etc/rsyncd sudo touch /etc/rsyncd/rsyncd.conf #主配置文件 sudo touch /etc/rsyncd/rsyncd.secrets #用户名密码文件，一组用户一行，用户名和密码使用 : 分割 sudo touch /etc/rsyncd/rsyncd.motd #非必须，连接上rsyncd显示的欢迎信息，此文件可不创建 sudo chown root:root /etc/rsyncd/rsyncd.secrets #安全起见将属主设置为root

sudo chmod 0600 /etc/rsyncd/rsyncd.secrets #安全起见将权限设置为 600

一个rsyncd.conf文件内容模板：

################################################################################ # ******进程相关的全局配置****** ################################################################################ # = 后面的值可根据自己的实际情况更改 # pid file 守护进程pid文件 # port 守护进程监听端口，可更改，由xinetd启动rsyncd时忽略此参数 # address 守护进程监听ip，由xinetd启动rsyncd时忽略此参数 pid file = /var/run/rsyncd.pid

port = 873

address = 10.12 . 74.122

# rsyncd 守护进程运行系统用户全局配置，也可在具体的块中独立配置 uid = root gid = root # 允许 chroot，提升安全性，客户端连接模块，首先chroot到模块path参数指定的目录下 # chroot为yes时必须使用root权限，且不能备份path路径外的链接文件 use chroot = yes # 只读 read only = no # 只写 write only = no # 允许访问rsyncd服务的IP，IP段或者单独IP之间使用空格隔开

hosts allow = 10.5 . 203.190 10.4 . 0.0 / 255.255 . 0.0

# 不允许访问rsyncd服务的IP，*是全部(不涵盖在hosts allow中声明的IP，注意和hosts allow的先后顺序) hosts deny = * # 客户端最大连接数

max connections = 5

# 欢迎文件路径，可选的 # motd file = /etc/rsyncd/rsyncd.motd # 日志相关 # log file 指定rsync发送消息日志文件，而不是发送给syslog，如果不填这个参数默认发送给syslog # transfer logging 是否记录传输文件日志 # log format 日志文件格式，格式参数请google # syslog facility rsync发送消息给syslog时的消息级别， # timeout 连接超时时间 log file = /var/log/rsyncd.log transfer logging = yes log format = %t %a %m %f %b syslog facility = local3

timeout = 300

################################################################################ # ******模块配置(多个)****** ################################################################################ # 模块名称必须使用[]环绕，比如要访问auditlog，则地址应该是 audit @10 .12. 74.122 ::auditlog [auditlog] # 模块根目录，必须指定 path = /opt/logs/sec # 是否允许列出模块里的内容 list = no # 忽略错误 # ignore errors # 模块验证用户名称，可使用空格或者逗号隔开多个用户名 auth users = audit # 模块验证密码文件 可放在全局配置里 secrets file = /etc/rsyncd/rsyncd.secrets # 注释

comment = This moudle is used to backup auditlog for data team.

# 排除目录，多个之间使用空格隔开 exclude = test1/ test2/

一个rsyncd.secrets文件内容示例：

audit:z_a08_p

一个rsyncd.motd文件内容示例：

################################################################################ # ******configed by guangzong****** ################################################################################

rsync的启动

根据实际情况选择rsync服务的启动方式：

rsync服务器负载比较高，则使用独立启动模式

#显式的指定配置文件 /usr/bin/rsync --daemon --config=/etc/rsyncd/rsyncd.conf #假设在使用Putty/Xshell终端操作，保证终端断开进程仍然执行 nohup /usr/bin/rsync --daemon --config=/etc/rsyncd/rsyncd.conf

rsync服务器负责较低，使用xinetd运行方式 $ sudo vim /etc/xinetd.d/rsync ...

server_args = --daemon --config=/etc/rsyncd/rsyncd.conf

... # 注意：如果系统没有安装xinetd，需要先安装然后设置一下： $ sudo yum intall xinetd $ sudo chkconfig rsync on $ sudo service xinetd restart rsync的防火墙设置

# iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 873 -j ACCEPT

# iptables -L rsync的(自动)同步

# 传输时自动使用密码文件而不用手动输入，注意密码文件权限必须是 600

$ rsync -avzP --delete --password-file=/etc/rsyncd/rsyncd.secrets audit @10 .12. 74.122 ::auditlog ~/auditlog

# 参数 a 的意思是保留文件原有权限，用户，用户组，时间且递归的copy包括链接文件，块设备在内的所有文件 # 参数 v 是显示传输信息 # 参数 P 显示传输进度 # 参数 z 是压缩传输内容进行传输 # 假设要保持auditlog模块和本地 ~/auditlog 目录的内容完全一致，需要加上参数 --delete ，这样会删除在 ~/auditlog 目录里但是不在auditlog模块里的文件(夹) # 如果需要rsync自动进行同步，可以将同步使用的rsync命令放入cron定时执行，以起到自动同步的效果； # 或者可以结合 inotify 和 rsync 以达到近实时同步的效果。 rsync的安全设置