Rsync加密

Question

我知道rsync可以在文件传输期间启用/禁用ssh加密协议.因此,如果ssh加密协议已被禁用,是否意味着rsync根本不进行任何加密？

另外,我问上述问题的原因是我们使用rsync模块作为文件传输的一部分,模块中没有任何内容指定将使用ssh加密.

如果rsync不使用任何加密,那么理论上我可以在源计算机和目标计算机上打开一个端口,并将文件从源推送到目标.

Answer 1

如果您使用rsync://协议方案(即连接到rsyncd守护程序时),则不会使用加密(尽管使用基于MD4的质询 - 响应系统进行密码验证,但可能仍然相当安全).

如果您使用该hostname:/some/path方案,则rsync透明地调用SSH,后者对所有内容进行加密,并使用SSH的本机身份验证机制.据我所知,一些OpenSSH版本支持Ciphers null配置文件中的一个选项,但在以后的版本中已经删除了.

通常,您不必担心加密开销,除非您在1 Gbit网络中工作或者您有旧计算机.

@JSmyth是的,认真的.我同意MD4应该在很久以前被弃用,但对于某些用途它仍然是安全的.MD4存在快速冲突攻击,但这不会影响质询 - 响应身份验证.你需要一个preimage攻击来打破它,但不存在实际的前像攻击. (6认同)
虽然加密不会导致额外带宽问题,但它可能会受到瓶颈(在具有低功率机器的GigE上).一个例子是HP N40L微服务器,它具有1.4GHz处理器.它通过SSH最大化,默认选项大约为30MBps(~180Mbit/s).iPerf表明它具有完整的GBit传输速度.磁盘传输显示磁盘有能力.CPU运行率为100%.解决此问题需要更改为安全性较低的密码或删除加密.arcfour密码在同一设备上以大约60MBps的速度运行. (4认同)
对于大型传输，带宽开销可以忽略不计，只有几个百分点。加密本身不会“扩展”数据，但每个数据块都需要额外的标头来传达 IV 和校验和。 (2认同)
@OrtomalaLokni，您的链接指向 rsync(1)，它根本不讨论身份验证（非常合理，因为它主要涉及 rsyncd）。您可能将身份验证与校验和混淆了。 (2认同)
@DmitryAlexandrov 你是对的，MD5 用于文件校验和。MD4 仍然用于身份验证，如 2018 年 1 月 28 日：https://download.samba.org/pub/rsync/rsyncd.conf.html 文档建议在 ssh 上使用 rsync 以实现“最高质量的安全性”... (2认同)

Answer 2

rsync本身不执行加密.如果您不使用ssh,也不通过stunnel或某种VPN隧道传输rsync流量,则不会执行加密.是的,您可以通过这种方式节省一些CPU周期.