如何在centos6服务器上一步步地安装并配置rsyncd守护进程呢？

在服务器管理和数据备份领域，rsync 是一款不可或缺的强大工具，它以其高效的增量传输算法而闻名，能够只同步文件中发生变化的部分，极大地节省了网络带宽和传输时间，当 rsync 以守护进程（rsyncd）模式运行时，它便化身为一个功能丰富的文件同步服务器，允许客户端随时连接并进行数据拉取或推送，尽管 CentOS 6 已进入生命周期结束（EOL）阶段，但在许多遗留系统中，理解并掌握 rsyncd 的配置与使用依然具有重要的现实意义，本文将详细介绍在 CentOS 6 系统上搭建、配置和管理 rsyncd 服务的完整流程。

安装与基础配置

在 CentOS 6 上，rsync 软件包通常默认已安装，若未安装，可以通过 yum 命令轻松完成。

sudo yum install rsync -y

rsyncd 的核心配置文件是 /etc/rsyncd.conf，该文件默认可能不存在，需要手动创建，一个典型的配置文件分为两部分：全局参数和模块参数，全局参数定义了整个 rsyncd 守护进程的行为,而模块参数则定义了可供客户端访问的具体共享目录。

以下是一个基础的 /etc/rsyncd.conf 示例：

# 全局参数
uid = nobody
gid = nobody
use chroot = yes
max connections = 4
pid file = /var/run/rsyncd.pid
lock file = /var/run/rsync.lock
log file = /var/log/rsyncd.log
timeout = 300
# 模块定义
[public_files]
    path = /data/public
    comment = Public file sharing area
    read only = yes
    list = yes
[private_backup]
    path = /data/backup
    comment = Private backup area for authorized users
    read only = no
    list = yes
    auth users = backup_user
    secrets file = /etc/rsyncd.secrets

全局参数解析：

• uid / gid: 指定 rsyncd 守护进程运行时所使用的用户和组，出于安全考虑，通常使用 nobody。
• use chroot: 是否在传输前将 chroot 到模块的 path 目录，这是一个重要的安全特性,可以防止用户访问模块目录之外的文件系统。
• max connections: 允许的最大并发连接数。
• pid file / lock file: 指定进程 ID 文件和锁文件的位置。
• log file: 指定日志文件路径,便于排查问题。
• timeout: 设置空闲连接的超时时间（秒）。

定义同步模块与用户认证

模块是 rsyncd 服务的核心，它代表一个共享的目录，在上述示例中，我们定义了两个模块：[public_files] 和 [private_backup]。

模块参数解析：

• [module_name]: 方括号内的名称是客户端连接时使用的模块标识符。
• path: 指定共享目录的绝对路径，确保该目录存在且 uid/gid 指定的用户有相应的读写权限。
• comment: 对模块的描述性文字,当客户端列出所有模块时会显示。
• read only: 设置为 yes 表示客户端只能下载（拉取）文件，设置为 no 则允许上传（推送）。
• list: 控制该模块是否在客户端请求模块列表时被显示。
• auth users: 指定允许访问该模块的用户，多个用户用逗号分隔，如果未设置此选项,则为匿名访问。
• secrets file: 指定存储用户名和密码的文件路径。

对于需要认证的模块，如 [private_backup]，我们需要创建一个密码文件 /etc/rsyncd.secrets，该文件的格式非常简单，每行一个“用户名:密码”对。

sudo vim /etc/rsyncd.secrets

示例：

backup_user:your_strong_password

安全提示： 密码文件的安全性至关重要，必须将其权限设置为只有 root 用户可读写，否则 rsyncd 服务将拒绝启动。

sudo chmod 600 /etc/rsyncd.secrets

启动与管理 rsync 服务

配置完成后，即可启动 rsyncd 服务，在 CentOS 6 中，rsync 并未预设为标准的系统服务,但我们可以轻松地将其添加并管理。

手动启动守护进程以测试配置是否正确：

sudo rsync --daemon --config=/etc/rsyncd.conf

如果没有错误输出，并且进程已经启动（可通过 ps aux | grep rsync 查看），说明配置文件语法无误，我们可以将 rsyncd 设置为开机自启动服务。

CentOS 6 使用 SysV init，我们需要为 rsync 创建一个启动脚本，幸运的是，rsync 软件包通常已经提供了一个模板，位于 /usr/share/doc/rsync-x.x.x/rsyncd.conf 或类似路径，更简单的方法是直接使用 service 和 chkconfig 命令。

# 将 rsync 添加为系统服务
sudo chkconfig --add rsync
# 设置开机自启
sudo chkconfig rsync on
# 启动服务
sudo service rsync start
# 停止服务
sudo service rsync stop
# 重启服务
sudo service rsync restart

防火墙配置：
rsyncd 默认使用 TCP 端口 873，如果服务器的防火墙（iptables）开启,必须放行此端口。

sudo iptables -I INPUT -p tcp --dport 873 -j ACCEPT
sudo service iptables save

客户端连接与使用

服务端配置就绪后,客户端就可以通过各种方式与之交互了。

列出服务器上所有可用的模块：

rsync rsync://your_server_ip/

如果配置正确,你将看到类似以下的输出：

public_files   Public file sharing area
private_backup Private backup area for authorized users

从服务器拉取（下载）文件：

• 匿名拉取：

  rsync -avz rsync://your_server_ip/public_files/ /local/public/

• 认证拉取：

  rsync -avz backup_user@your_server_ip::private_backup /local/backup/

  执行此命令后，系统会提示输入 backup_user 的密码，注意，这里使用双冒号 来指定连接 rsyncd 守护进程的特定模块。

向服务器推送（上传）文件：

推送操作需要模块的 read only 参数设置为 no。

rsync -avz /local/data_to_backup/ backup_user@your_server_ip::private_backup

同样，系统会要求输入密码。-a 选项表示归档模式，它相当于 -rlptgoD 的集合，能保留文件的各种属性；-v 表示详细模式，显示传输过程；-z 表示在传输过程中进行压缩,以节省带宽。

高级配置与安全考量

为了进一步增强 rsyncd 的安全性和灵活性,还可以利用以下高级配置：

• IP 访问控制： 在全局参数或模块参数中，可以使用 hosts allow 和 hosts deny 来限制允许或拒绝访问的客户端 IP 地址或网段。

  hosts allow = 192.168.1.0/24, 10.0.0.5
  hosts deny = *

  这条规则表示只允许 168.1.0/24 网段和 0.0.5 这台主机访问,拒绝其他所有连接。

• 虽然 use chroot = yes 增强了安全性，但如果模块路径中存在符号链接指向 chroot 监狱之外的目录，同步可能会失败，在某些特定场景下，可能需要将其设置为 no，但这会降低安全性,需谨慎评估。

---

相关问答FAQs

问题1：连接 rsyncd 时提示 “auth failed on module XXX”，该如何排查？

解答： “认证失败”是 rsyncd 使用中最常见的错误之一,排查步骤如下：

1. 确认 /etc/rsyncd.conf 中 secrets file 指定的路径是否正确,文件是否存在。
2. 检查文件权限： 确认密码文件的权限必须是 600 (chmod 600 /etc/rsyncd.secrets)，权限过高会导致 rsyncd 出于安全考虑拒绝读取。
3. 检查用户名和密码： 确认客户端输入的用户名与 auth users 中定义的一致，密码与 /etc/rsyncd.secrets 文件中存储的密码完全匹配,注意密码文件中不要有多余的空格。
4. 确认模块中 auth users 参数已正确配置,并且包含了你尝试登录的用户名。
5. 重启 rsyncd 服务： 修改任何配置后，务必重启 rsyncd 服务 (service rsync restart) 使更改生效。

问题2：通过 rsyncd 守护进程同步和通过 SSH 远程执行 rsync 有什么区别？

解答： 两者都是利用 rsync 算法进行数据同步，但在工作方式、安全性和适用场景上有显著区别,如下表所示：

特性	rsyncd (守护进程模式)	rsync over SSH (远程 shell 模式)
端口	默认使用 873 端口	使用 SSH 端口（默认 22）
认证方式	使用独立的密码文件 (secrets file)，可匿名访问	使用系统用户和 SSH 密钥或密码认证
数据加密	传输过程默认不加密（数据是明文的）	整个传输过程（包括认证和数据）由 SSH 加密，安全性高
配置复杂度	需要在服务端配置 rsyncd.conf，管理守护进程	服务端无需额外配置，只需确保 SSH 服务正常运行和用户权限
防火墙	需要放行 873 端口	需要放行 SSH 端口
适用场景	适合内网环境、频繁的自动化备份任务、公开文件分发、无需系统账户的场景	适合跨公网同步、对安全性要求高的场景、一次性或临时的同步任务

如果是在可信的内网环境中进行大量、自动化的数据备份，rsyncd 效率更高且配置灵活，如果需要穿越不可信的网络（如互联网）进行同步，或者不想为同步任务创建额外的系统账户和配置文件，rsync over SSH 是更安全、更便捷的选择。