35d269f8c500f264ff751b0b67c527c721229e1c
[rsync/rsync.git] / rsyncd.conf.yo
1 mailto(rsync-bugs@samba.org)
2 manpage(rsyncd.conf)(5)(29 Jun 2008)()()
3 manpagename(rsyncd.conf)(configuration file for rsync in daemon mode)
4 manpagesynopsis()
5
6 rsyncd.conf
7
8 manpagedescription()
9
10 The rsyncd.conf file is the runtime configuration file for rsync when
11 run as an rsync daemon.
12
13 The rsyncd.conf file controls authentication, access, logging and
14 available modules.
15
16 manpagesection(FILE FORMAT)
17
18 The file consists of modules and parameters. A module begins with the
19 name of the module in square brackets and continues until the next
20 module begins. Modules contain parameters of the form "name = value".
21
22 The file is line-based -- that is, each newline-terminated line represents
23 either a comment, a module name or a parameter.
24
25 Only the first equals sign in a parameter is significant. Whitespace before
26 or after the first equals sign is discarded. Leading, trailing and internal
27 whitespace in module and parameter names is irrelevant. Leading and
28 trailing whitespace in a parameter value is discarded. Internal whitespace
29 within a parameter value is retained verbatim.
30
31 Any line beginning with a hash (#) is ignored, as are lines containing
32 only whitespace.
33
34 Any line ending in a \ is "continued" on the next line in the
35 customary UNIX fashion.
36
37 The values following the equals sign in parameters are all either a string
38 (no quotes needed) or a boolean, which may be given as yes/no, 0/1 or
39 true/false. Case is not significant in boolean values, but is preserved
40 in string values.
41
42 manpagesection(LAUNCHING THE RSYNC DAEMON)
43
44 The rsync daemon is launched by specifying the bf(--daemon) option to
45 rsync.
46
47 The daemon must run with root privileges if you wish to use chroot, to
48 bind to a port numbered under 1024 (as is the default 873), or to set
49 file ownership.  Otherwise, it must just have permission to read and
50 write the appropriate data, log, and lock files.
51
52 You can launch it either via inetd, as a stand-alone daemon, or from
53 an rsync client via a remote shell.  If run as a stand-alone daemon then
54 just run the command "bf(rsync --daemon)" from a suitable startup script.
55
56 When run via inetd you should add a line like this to /etc/services:
57
58 verb(  rsync           873/tcp)
59
60 and a single line something like this to /etc/inetd.conf:
61
62 verb(  rsync   stream  tcp     nowait  root   /usr/bin/rsync rsyncd --daemon)
63
64 Replace "/usr/bin/rsync" with the path to where you have rsync installed on
65 your system.  You will then need to send inetd a HUP signal to tell it to
66 reread its config file.
67
68 Note that you should bf(not) send the rsync daemon a HUP signal to force
69 it to reread the tt(rsyncd.conf) file. The file is re-read on each client
70 connection.
71
72 manpagesection(GLOBAL PARAMETERS)
73
74 The first parameters in the file (before a [module] header) are the
75 global parameters.
76
77 You may also include any module parameters in the global part of the
78 config file in which case the supplied value will override the
79 default for that parameter.
80
81 You may use references to environment variables in the values of parameters.
82 String parameters will have %VAR% references expanded as late as possible (when
83 the string is used in the program), allowing for the use of variables that
84 rsync sets at connection time, such as RSYNC_USER_NAME.  Non-string parameters
85 (such as true/false settings) are expanded when read from the config file.  If
86 a variable does not exist in the environment, or if a sequence of characters is
87 not a valid reference (such as an un-paired percent sign), the raw characters
88 are passed through unchanged.  This helps with backward compatibility and
89 safety (e.g. expanding a non-existent %VAR% to an empty string in a path could
90 result in a very unsafe path).  The safest way to insert a literal % into a
91 value is to use %%.
92
93 startdit()
94 dit(bf(motd file)) This parameter allows you to specify a
95 "message of the day" to display to clients on each connect. This
96 usually contains site information and any legal notices. The default
97 is no motd file.
98 This can be overridden by the bf(--dparam=motdfile=FILE)
99 command-line option when starting the daemon.
100
101 dit(bf(pid file)) This parameter tells the rsync daemon to write
102 its process ID to that file.  If the file already exists, the rsync
103 daemon will abort rather than overwrite the file.
104 This can be overridden by the bf(--dparam=pidfile=FILE)
105 command-line option when starting the daemon.
106
107 dit(bf(port)) You can override the default port the daemon will listen on
108 by specifying this value (defaults to 873).  This is ignored if the daemon
109 is being run by inetd, and is superseded by the bf(--port) command-line option.
110
111 dit(bf(address)) You can override the default IP address the daemon
112 will listen on by specifying this value.  This is ignored if the daemon is
113 being run by inetd, and is superseded by the bf(--address) command-line option.
114
115 dit(bf(socket options)) This parameter can provide endless fun for people
116 who like to tune their systems to the utmost degree. You can set all
117 sorts of socket options which may make transfers faster (or
118 slower!). Read the man page for the code(setsockopt()) system call for
119 details on some of the options you may be able to set. By default no
120 special socket options are set.  These settings can also be specified
121 via the bf(--sockopts) command-line option.
122
123 dit(bf(listen backlog)) You can override the default backlog value when the
124 daemon listens for connections.  It defaults to 5.
125
126 enddit()
127
128 manpagesection(MODULE PARAMETERS)
129
130 After the global parameters you should define a number of modules, each
131 module exports a directory tree as a symbolic name. Modules are
132 exported by specifying a module name in square brackets [module]
133 followed by the parameters for that module.
134 The module name cannot contain a slash or a closing square bracket.  If the
135 name contains whitespace, each internal sequence of whitespace will be
136 changed into a single space, while leading or trailing whitespace will be
137 discarded.
138
139 As with GLOBAL PARAMETERS, you may use references to environment variables in
140 the values of parameters.  See the GLOBAL PARAMETERS section for more details.
141
142 startdit()
143
144 dit(bf(comment)) This parameter specifies a description string
145 that is displayed next to the module name when clients obtain a list
146 of available modules. The default is no comment.
147
148 dit(bf(path)) This parameter specifies the directory in the daemon's
149 filesystem to make available in this module.  You must specify this parameter
150 for each module in tt(rsyncd.conf).
151
152 You may base the path's value off of an environment variable by surrounding
153 the variable name with percent signs.  You can even reference a variable
154 that is set by rsync when the user connects.
155 For example, this would use the authorizing user's name in the path:
156
157 verb(    path = /home/%RSYNC_USER_NAME% )
158
159 It is fine if the path includes internal spaces -- they will be retained
160 verbatim (which means that you shouldn't try to escape them).  If your final
161 directory has a trailing space (and this is somehow not something you wish to
162 fix), append a trailing slash to the path to avoid losing the trailing
163 whitespace.
164
165 dit(bf(use chroot)) If "use chroot" is true, the rsync daemon will chroot
166 to the "path" before starting the file transfer with the client.  This has
167 the advantage of extra protection against possible implementation security
168 holes, but it has the disadvantages of requiring super-user privileges,
169 of not being able to follow symbolic links that are either absolute or outside
170 of the new root path, and of complicating the preservation of users and groups
171 by name (see below).
172
173 As an additional safety feature, you can specify a dot-dir in the module's
174 "path" to indicate the point where the chroot should occur.  This allows rsync
175 to run in a chroot with a non-"/" path for the top of the transfer hierarchy.
176 Doing this guards against unintended library loading (since those absolute
177 paths will not be inside the transfer hierarchy unless you have used an unwise
178 pathname), and lets you setup libraries for the chroot that are outside of the
179 transfer.  For example, specifying "/var/rsync/./module1" will chroot to the
180 "/var/rsync" directory and set the inside-chroot path to "/module1".  If you
181 had omitted the dot-dir, the chroot would have used the whole path, and the
182 inside-chroot path would have been "/".
183
184 When "use chroot" is false or the inside-chroot path is not "/", rsync will:
185 (1) munge symlinks by
186 default for security reasons (see "munge symlinks" for a way to turn this
187 off, but only if you trust your users), (2) substitute leading slashes in
188 absolute paths with the module's path (so that options such as
189 bf(--backup-dir), bf(--compare-dest), etc. interpret an absolute path as
190 rooted in the module's "path" dir), and (3) trim ".." path elements from
191 args if rsync believes they would escape the module hierarchy.
192 The default for "use chroot" is true, and is the safer choice (especially
193 if the module is not read-only).
194
195 When this parameter is enabled, rsync will not attempt to map users and groups
196 by name (by default), but instead copy IDs as though bf(--numeric-ids) had
197 been specified.  In order to enable name-mapping, rsync needs to be able to
198 use the standard library functions for looking up names and IDs (i.e.
199 code(getpwuid()), code(getgrgid()), code(getpwname()), and code(getgrnam())).
200 This means the rsync
201 process in the chroot hierarchy will need to have access to the resources
202 used by these library functions (traditionally /etc/passwd and
203 /etc/group, but perhaps additional dynamic libraries as well).
204
205 If you copy the necessary resources into the module's chroot area, you
206 should protect them through your OS's normal user/group or ACL settings (to
207 prevent the rsync module's user from being able to change them), and then
208 hide them from the user's view via "exclude" (see how in the discussion of
209 that parameter).  At that point it will be safe to enable the mapping of users
210 and groups by name using the "numeric ids" daemon parameter (see below).
211
212 Note also that you are free to setup custom user/group information in the
213 chroot area that is different from your normal system.  For example, you
214 could abbreviate the list of users and groups.
215
216 dit(bf(numeric ids)) Enabling this parameter disables the mapping
217 of users and groups by name for the current daemon module.  This prevents
218 the daemon from trying to load any user/group-related files or libraries.
219 This enabling makes the transfer behave as if the client had passed
220 the bf(--numeric-ids) command-line option.  By default, this parameter is
221 enabled for chroot modules and disabled for non-chroot modules.
222
223 A chroot-enabled module should not have this parameter enabled unless you've
224 taken steps to ensure that the module has the necessary resources it needs
225 to translate names, and that it is not possible for a user to change those
226 resources.
227
228 dit(bf(munge symlinks)) This parameter tells rsync to modify
229 all symlinks in the same way as the (non-daemon-affecting)
230 bf(--munge-links) command-line option (using a method described below).
231 This should help protect your files from user trickery when
232 your daemon module is writable.  The default is disabled when "use chroot"
233 is on and the inside-chroot path is "/", otherwise it is enabled.
234
235 If you disable this parameter on a daemon that is not read-only, there
236 are tricks that a user can play with uploaded symlinks to access
237 daemon-excluded items (if your module has any), and, if "use chroot"
238 is off, rsync can even be tricked into showing or changing data that
239 is outside the module's path (as access-permissions allow).
240
241 The way rsync disables the use of symlinks is to prefix each one with
242 the string "/rsyncd-munged/".  This prevents the links from being used
243 as long as that directory does not exist.  When this parameter is enabled,
244 rsync will refuse to run if that path is a directory or a symlink to
245 a directory.  When using the "munge symlinks" parameter in a chroot area
246 that has an inside-chroot path of "/", you should add "/rsyncd-munged/"
247 to the exclude setting for the module so that
248 a user can't try to create it.
249
250 Note:  rsync makes no attempt to verify that any pre-existing symlinks in
251 the module's hierarchy are as safe as you want them to be (unless, of
252 course, it just copied in the whole hierarchy).  If you setup an rsync
253 daemon on a new area or locally add symlinks, you can manually protect your
254 symlinks from being abused by prefixing "/rsyncd-munged/" to the start of
255 every symlink's value.  There is a perl script in the support directory
256 of the source code named "munge-symlinks" that can be used to add or remove
257 this prefix from your symlinks.
258
259 When this parameter is disabled on a writable module and "use chroot" is off
260 (or the inside-chroot path is not "/"),
261 incoming symlinks will be modified to drop a leading slash and to remove ".."
262 path elements that rsync believes will allow a symlink to escape the module's
263 hierarchy.  There are tricky ways to work around this, though, so you had
264 better trust your users if you choose this combination of parameters.
265
266 dit(bf(charset)) This specifies the name of the character set in which the
267 module's filenames are stored.  If the client uses an bf(--iconv) option,
268 the daemon will use the value of the "charset" parameter regardless of the
269 character set the client actually passed.  This allows the daemon to
270 support charset conversion in a chroot module without extra files in the
271 chroot area, and also ensures that name-translation is done in a consistent
272 manner.  If the "charset" parameter is not set, the bf(--iconv) option is
273 refused, just as if "iconv" had been specified via "refuse options".
274
275 If you wish to force users to always use bf(--iconv) for a particular
276 module, add "no-iconv" to the "refuse options" parameter.  Keep in mind
277 that this will restrict access to your module to very new rsync clients.
278
279 dit(bf(max connections)) This parameter allows you to
280 specify the maximum number of simultaneous connections you will allow.
281 Any clients connecting when the maximum has been reached will receive a
282 message telling them to try later.  The default is 0, which means no limit.
283 A negative value disables the module.
284 See also the "lock file" parameter.
285
286 dit(bf(log file)) When the "log file" parameter is set to a non-empty
287 string, the rsync daemon will log messages to the indicated file rather
288 than using syslog. This is particularly useful on systems (such as AIX)
289 where code(syslog()) doesn't work for chrooted programs.  The file is
290 opened before code(chroot()) is called, allowing it to be placed outside
291 the transfer.  If this value is set on a per-module basis instead of
292 globally, the global log will still contain any authorization failures
293 or config-file error messages.
294
295 If the daemon fails to open the specified file, it will fall back to
296 using syslog and output an error about the failure.  (Note that the
297 failure to open the specified log file used to be a fatal error.)
298
299 This setting can be overridden by using the bf(--log-file=FILE) or
300 bf(--dparam=logfile=FILE) command-line options.  The former overrides
301 all the log-file parameters of the daemon and all module settings.
302 The latter sets the daemon's log file and the default for all the
303 modules, which still allows modules to override the default setting.
304
305 dit(bf(syslog facility)) This parameter allows you to
306 specify the syslog facility name to use when logging messages from the
307 rsync daemon. You may use any standard syslog facility name which is
308 defined on your system. Common names are auth, authpriv, cron, daemon,
309 ftp, kern, lpr, mail, news, security, syslog, user, uucp, local0,
310 local1, local2, local3, local4, local5, local6 and local7. The default
311 is daemon.  This setting has no effect if the "log file" setting is a
312 non-empty string (either set in the per-modules settings, or inherited
313 from the global settings).
314
315 dit(bf(max verbosity)) This parameter allows you to control
316 the maximum amount of verbose information that you'll allow the daemon to
317 generate (since the information goes into the log file). The default is 1,
318 which allows the client to request one level of verbosity.
319
320 dit(bf(lock file)) This parameter specifies the file to use to
321 support the "max connections" parameter. The rsync daemon uses record
322 locking on this file to ensure that the max connections limit is not
323 exceeded for the modules sharing the lock file.
324 The default is tt(/var/run/rsyncd.lock).
325
326 dit(bf(read only)) This parameter determines whether clients
327 will be able to upload files or not. If "read only" is true then any
328 attempted uploads will fail. If "read only" is false then uploads will
329 be possible if file permissions on the daemon side allow them. The default
330 is for all modules to be read only.
331
332 Note that "auth users" can override this setting on a per-user basis.
333
334 dit(bf(write only)) This parameter determines whether clients
335 will be able to download files or not. If "write only" is true then any
336 attempted downloads will fail. If "write only" is false then downloads
337 will be possible if file permissions on the daemon side allow them.  The
338 default is for this parameter to be disabled.
339
340 dit(bf(list)) This parameter determines whether this module is
341 listed when the client asks for a listing of available modules.  In addition,
342 if this is false, the daemon will pretend the module does not exist
343 when a client denied by "hosts allow" or "hosts deny" attempts to access it.
344 Realize that if "reverse lookup" is disabled globally but enabled for the
345 module, the resulting reverse lookup to a potentially client-controlled DNS
346 server may still reveal to the client that it hit an existing module.
347 The default is for modules to be listable.
348
349 dit(bf(uid)) This parameter specifies the user name or user ID that
350 file transfers to and from that module should take place as when the daemon
351 was run as root. In combination with the "gid" parameter this determines what
352 file permissions are available. The default when run by a super-user is to
353 switch to the system's "nobody" user.  The default for a non-super-user is to
354 not try to change the user.  See also the "gid" parameter.
355
356 The RSYNC_USER_NAME environment variable may be used to request that rsync run
357 as the authorizing user.  For example, if you want a rsync to run as the same
358 user that was received for the rsync authentication, this setup is useful:
359
360 verb(    uid = %RSYNC_USER_NAME%
361     gid = * )
362
363 dit(bf(gid)) This parameter specifies one or more group names/IDs that will be
364 used when accessing the module.  The first one will be the default group, and
365 any extra ones be set as supplemental groups.  You may also specify a "*" as
366 the first gid in the list, which will be replaced by all the normal groups for
367 the transfer's user (see "uid").  The default when run by a super-user is to
368 switch to your OS's "nobody" (or perhaps "nogroup") group with no other
369 supplementary groups.  The default for a non-super-user is to not change any
370 group attributes (and indeed, your OS may not allow a non-super-user to try to
371 change their group settings).
372
373 dit(bf(fake super)) Setting "fake super = yes" for a module causes the
374 daemon side to behave as if the bf(--fake-super) command-line option had
375 been specified.  This allows the full attributes of a file to be stored
376 without having to have the daemon actually running as root.
377
378 dit(bf(filter)) The daemon has its own filter chain that determines what files
379 it will let the client access.  This chain is not sent to the client and is
380 independent of any filters the client may have specified.  Files excluded by
381 the daemon filter chain (bf(daemon-excluded) files) are treated as non-existent
382 if the client tries to pull them, are skipped with an error message if the
383 client tries to push them (triggering exit code 23), and are never deleted from
384 the module.  You can use daemon filters to prevent clients from downloading or
385 tampering with private administrative files, such as files you may add to
386 support uid/gid name translations.
387
388 The daemon filter chain is built from the "filter", "include from", "include",
389 "exclude from", and "exclude" parameters, in that order of priority.  Anchored
390 patterns are anchored at the root of the module.  To prevent access to an
391 entire subtree, for example, "/secret", you em(must) exclude everything in the
392 subtree; the easiest way to do this is with a triple-star pattern like
393 "/secret/***".
394
395 The "filter" parameter takes a space-separated list of daemon filter rules,
396 though it is smart enough to know not to split a token at an internal space in
397 a rule (e.g. "- /foo  - /bar" is parsed as two rules).  You may specify one or
398 more merge-file rules using the normal syntax.  Only one "filter" parameter can
399 apply to a given module in the config file, so put all the rules you want in a
400 single parameter.  Note that per-directory merge-file rules do not provide as
401 much protection as global rules, but they can be used to make bf(--delete) work
402 better during a client download operation if the per-dir merge files are
403 included in the transfer and the client requests that they be used.
404
405 dit(bf(exclude)) This parameter takes a space-separated list of daemon
406 exclude patterns.  As with the client bf(--exclude) option, patterns can be
407 qualified with "- " or "+ " to explicitly indicate exclude/include.  Only one
408 "exclude" parameter can apply to a given module.  See the "filter" parameter
409 for a description of how excluded files affect the daemon.
410
411 dit(bf(include)) Use an "include" to override the effects of the "exclude"
412 parameter.  Only one "include" parameter can apply to a given module.  See the
413 "filter" parameter for a description of how excluded files affect the daemon.
414
415 dit(bf(exclude from)) This parameter specifies the name of a file
416 on the daemon that contains daemon exclude patterns, one per line.  Only one
417 "exclude from" parameter can apply to a given module; if you have multiple
418 exclude-from files, you can specify them as a merge file in the "filter"
419 parameter.  See the "filter" parameter for a description of how excluded files
420 affect the daemon.
421
422 dit(bf(include from)) Analogue of "exclude from" for a file of daemon include
423 patterns.  Only one "include from" parameter can apply to a given module.  See
424 the "filter" parameter for a description of how excluded files affect the
425 daemon.
426
427 dit(bf(incoming chmod)) This parameter allows you to specify a set of
428 comma-separated chmod strings that will affect the permissions of all
429 incoming files (files that are being received by the daemon).  These
430 changes happen after all other permission calculations, and this will
431 even override destination-default and/or existing permissions when the
432 client does not specify bf(--perms).
433 See the description of the bf(--chmod) rsync option and the bf(chmod)(1)
434 manpage for information on the format of this string.
435
436 dit(bf(outgoing chmod)) This parameter allows you to specify a set of
437 comma-separated chmod strings that will affect the permissions of all
438 outgoing files (files that are being sent out from the daemon).  These
439 changes happen first, making the sent permissions appear to be different
440 than those stored in the filesystem itself.  For instance, you could
441 disable group write permissions on the server while having it appear to
442 be on to the clients.
443 See the description of the bf(--chmod) rsync option and the bf(chmod)(1)
444 manpage for information on the format of this string.
445
446 dit(bf(auth users)) This parameter specifies a comma and/or space-separated
447 list of authorization rules.  In its simplest form, you list the usernames
448 that will be allowed to connect to
449 this module. The usernames do not need to exist on the local
450 system. The rules may contain shell wildcard characters that will be matched
451 against the username provided by the client for authentication. If
452 "auth users" is set then the client will be challenged to supply a
453 username and password to connect to the module. A challenge response
454 authentication protocol is used for this exchange. The plain text
455 usernames and passwords are stored in the file specified by the
456 "secrets file" parameter. The default is for all users to be able to
457 connect without a password (this is called "anonymous rsync").
458
459 In addition to username matching, you can specify groupname matching via a '@'
460 prefix.  When using groupname matching, the authenticating username must be a
461 real user on the system, or it will be assumed to be a member of no groups.
462 For example, specifying "@rsync" will match the authenticating user if the
463 named user is a member of the rsync group.
464
465 Finally, options may be specified after a colon (:).  The options allow you to
466 "deny" a user or a group, set the access to "ro" (read-only), or set the access
467 to "rw" (read/write).  Setting an auth-rule-specific ro/rw setting overrides
468 the module's "read only" setting.
469
470 Be sure to put the rules in the order you want them to be matched, because the
471 checking stops at the first matching user or group, and that is the only auth
472 that is checked.  For example:
473
474 verb(  auth users = joe:deny @guest:deny admin:rw @rsync:ro susan joe sam )
475
476 In the above rule, user joe will be denied access no matter what.  Any user
477 that is in the group "guest" is also denied access.  The user "admin" gets
478 access in read/write mode, but only if the admin user is not in group "guest"
479 (because the admin user-matching rule would never be reached if the user is in
480 group "guest").  Any other user who is in group "rsync" will get read-only
481 access.  Finally, users susan, joe, and sam get the ro/rw setting of the
482 module, but only if the user didn't match an earlier group-matching rule.
483
484 See the description of the secrets file for how you can have per-user passwords
485 as well as per-group passwords.  It also explains how a user can authenticate
486 using their user password or (when applicable) a group password, depending on
487 what rule is being authenticated.
488
489 See also the section entitled "USING RSYNC-DAEMON FEATURES VIA A REMOTE
490 SHELL CONNECTION" in bf(rsync)(1) for information on how handle an
491 rsyncd.conf-level username that differs from the remote-shell-level
492 username when using a remote shell to connect to an rsync daemon.
493
494 dit(bf(secrets file)) This parameter specifies the name of a file that contains
495 the username:password and/or @groupname:password pairs used for authenticating
496 this module. This file is only consulted if the "auth users" parameter is
497 specified.  The file is line-based and contains one name:password pair per
498 line.  Any line has a hash (#) as the very first character on the line is
499 considered a comment and is skipped.  The passwords can contain any characters
500 but be warned that many operating systems limit the length of passwords that
501 can be typed at the client end, so you may find that passwords longer than 8
502 characters don't work.
503
504 The use of group-specific lines are only relevant when the module is being
505 authorized using a matching "@groupname" rule.  When that happens, the user
506 can be authorized via either their "username:password" line or the
507 "@groupname:password" line for the group that triggered the authentication.
508
509 It is up to you what kind of password entries you want to include, either
510 users, groups, or both.  The use of group rules in "auth users" does not
511 require that you specify a group password if you do not want to use shared
512 passwords.
513
514 There is no default for the "secrets file" parameter, you must choose a name
515 (such as tt(/etc/rsyncd.secrets)).  The file must normally not be readable
516 by "other"; see "strict modes".  If the file is not found or is rejected, no
517 logins for a "user auth" module will be possible.
518
519 dit(bf(strict modes)) This parameter determines whether or not
520 the permissions on the secrets file will be checked.  If "strict modes" is
521 true, then the secrets file must not be readable by any user ID other
522 than the one that the rsync daemon is running under.  If "strict modes" is
523 false, the check is not performed.  The default is true.  This parameter
524 was added to accommodate rsync running on the Windows operating system.
525
526 dit(bf(hosts allow)) This parameter allows you to specify a
527 list of patterns that are matched against a connecting clients
528 hostname and IP address. If none of the patterns match then the
529 connection is rejected.
530
531 Each pattern can be in one of five forms:
532
533 quote(itemization(
534   it() a dotted decimal IPv4 address of the form a.b.c.d, or an IPv6 address
535   of the form a:b:c::d:e:f. In this case the incoming machine's IP address
536   must match exactly.
537   it() an address/mask in the form ipaddr/n where ipaddr is the IP address
538   and n is the number of one bits in the netmask.  All IP addresses which
539   match the masked IP address will be allowed in.
540   it() an address/mask in the form ipaddr/maskaddr where ipaddr is the
541   IP address and maskaddr is the netmask in dotted decimal notation for IPv4,
542   or similar for IPv6, e.g. ffff:ffff:ffff:ffff:: instead of /64. All IP
543   addresses which match the masked IP address will be allowed in.
544   it() a hostname pattern using wildcards. If the hostname of the connecting IP
545   (as determined by a reverse lookup) matches the wildcarded name (using the
546   same rules as normal unix filename matching), the client is allowed in.  This
547   only works if "reverse lookup" is enabled (the default).
548   it() a hostname. A plain hostname is matched against the reverse DNS of the
549   connecting IP (if "reverse lookup" is enabled), and/or the IP of the given
550   hostname is matched against the connecting IP (if "forward lookup" is
551   enabled, as it is by default).  Any match will be allowed in.
552 ))
553
554 Note IPv6 link-local addresses can have a scope in the address specification:
555
556 quote(
557 tt(    fe80::1%link1)nl()
558 tt(    fe80::%link1/64)nl()
559 tt(    fe80::%link1/ffff:ffff:ffff:ffff::)nl()
560 )
561
562 You can also combine "hosts allow" with a separate "hosts deny"
563 parameter. If both parameters are specified then the "hosts allow" parameter is
564 checked first and a match results in the client being able to
565 connect. The "hosts deny" parameter is then checked and a match means
566 that the host is rejected. If the host does not match either the
567 "hosts allow" or the "hosts deny" patterns then it is allowed to
568 connect.
569
570 The default is no "hosts allow" parameter, which means all hosts can connect.
571
572 dit(bf(hosts deny)) This parameter allows you to specify a
573 list of patterns that are matched against a connecting clients
574 hostname and IP address. If the pattern matches then the connection is
575 rejected. See the "hosts allow" parameter for more information.
576
577 The default is no "hosts deny" parameter, which means all hosts can connect.
578
579 dit(bf(reverse lookup)) Controls whether the daemon performs a reverse lookup
580 on the client's IP address to determine its hostname, which is used for
581 "hosts allow"/"hosts deny" checks and the "%h" log escape.  This is enabled by
582 default, but you may wish to disable it to save time if you know the lookup will
583 not return a useful result, in which case the daemon will use the name
584 "UNDETERMINED" instead.
585
586 If this parameter is enabled globally (even by default), rsync performs the
587 lookup as soon as a client connects, so disabling it for a module will not
588 avoid the lookup.  Thus, you probably want to disable it globally and then
589 enable it for modules that need the information.
590
591 dit(bf(forward lookup)) Controls whether the daemon performs a forward lookup
592 on any hostname specified in an hosts allow/deny setting.  By default this is
593 enabled, allowing the use of an explicit hostname that would not be returned
594 by reverse DNS of the connecting IP.
595
596 dit(bf(ignore errors)) This parameter tells rsyncd to
597 ignore I/O errors on the daemon when deciding whether to run the delete
598 phase of the transfer. Normally rsync skips the bf(--delete) step if any
599 I/O errors have occurred in order to prevent disastrous deletion due
600 to a temporary resource shortage or other I/O error. In some cases this
601 test is counter productive so you can use this parameter to turn off this
602 behavior.
603
604 dit(bf(ignore nonreadable)) This tells the rsync daemon to completely
605 ignore files that are not readable by the user. This is useful for
606 public archives that may have some non-readable files among the
607 directories, and the sysadmin doesn't want those files to be seen at all.
608
609 dit(bf(transfer logging)) This parameter enables per-file
610 logging of downloads and uploads in a format somewhat similar to that
611 used by ftp daemons.  The daemon always logs the transfer at the end, so
612 if a transfer is aborted, no mention will be made in the log file.
613
614 If you want to customize the log lines, see the "log format" parameter.
615
616 dit(bf(log format)) This parameter allows you to specify the
617 format used for logging file transfers when transfer logging is enabled.
618 The format is a text string containing embedded single-character escape
619 sequences prefixed with a percent (%) character.  An optional numeric
620 field width may also be specified between the percent and the escape
621 letter (e.g. "bf(%-50n %8l %07p)").
622 In addition, one or more apostrophes may be specified prior to a numerical
623 escape to indicate that the numerical value should be made more human-readable.
624 The 3 supported levels are the same as for the bf(--human-readable)
625 command-line option, though the default is for human-readability to be off.
626 Each added apostrophe increases the level (e.g. "bf(%''l %'b %f)").
627
628 The default log format is "%o %h [%a] %m (%u) %f %l", and a "%t [%p] "
629 is always prefixed when using the "log file" parameter.
630 (A perl script that will summarize this default log format is included
631 in the rsync source code distribution in the "support" subdirectory:
632 rsyncstats.)
633
634 The single-character escapes that are understood are as follows:
635
636 quote(itemization(
637   it() %a the remote IP address
638   it() %b the number of bytes actually transferred
639   it() %B the permission bits of the file (e.g. rwxrwxrwt)
640   it() %c the total size of the block checksums received for the basis file (only when sending)
641   it() %C the full-file MD5 checksum if bf(--checksum) is enabled or a file was transferred (only for protocol 30 or above).
642   it() %f the filename (long form on sender; no trailing "/")
643   it() %G the gid of the file (decimal) or "DEFAULT"
644   it() %h the remote host name
645   it() %i an itemized list of what is being updated
646   it() %l the length of the file in bytes
647   it() %L the string " -> SYMLINK", " => HARDLINK", or "" (where bf(SYMLINK) or bf(HARDLINK) is a filename)
648   it() %m the module name
649   it() %M the last-modified time of the file
650   it() %n the filename (short form; trailing "/" on dir)
651   it() %o the operation, which is "send", "recv", or "del." (the latter includes the trailing period)
652   it() %p the process ID of this rsync session
653   it() %P the module path
654   it() %t the current date time
655   it() %u the authenticated username or an empty string
656   it() %U the uid of the file (decimal)
657 ))
658
659 For a list of what the characters mean that are output by "%i", see the
660 bf(--itemize-changes) option in the rsync manpage.
661
662 Note that some of the logged output changes when talking with older
663 rsync versions.  For instance, deleted files were only output as verbose
664 messages prior to rsync 2.6.4.
665
666 dit(bf(timeout)) This parameter allows you to override the
667 clients choice for I/O timeout for this module. Using this parameter you
668 can ensure that rsync won't wait on a dead client forever. The timeout
669 is specified in seconds. A value of zero means no timeout and is the
670 default. A good choice for anonymous rsync daemons may be 600 (giving
671 a 10 minute timeout).
672
673 dit(bf(refuse options)) This parameter allows you to
674 specify a space-separated list of rsync command line options that will
675 be refused by your rsync daemon.
676 You may specify the full option name, its one-letter abbreviation, or a
677 wild-card string that matches multiple options.
678 For example, this would refuse bf(--checksum) (bf(-c)) and all the various
679 delete options:
680
681 quote(tt(    refuse options = c delete))
682
683 The reason the above refuses all delete options is that the options imply
684 bf(--delete), and implied options are refused just like explicit options.
685 As an additional safety feature, the refusal of "delete" also refuses
686 bf(remove-source-files) when the daemon is the sender; if you want the latter
687 without the former, instead refuse "delete-*" -- that refuses all the
688 delete modes without affecting bf(--remove-source-files).
689
690 When an option is refused, the daemon prints an error message and exits.
691 To prevent all compression when serving files,
692 you can use "dont compress = *" (see below)
693 instead of "refuse options = compress" to avoid returning an error to a
694 client that requests compression.
695
696 dit(bf(dont compress)) This parameter allows you to select
697 filenames based on wildcard patterns that should not be compressed
698 when pulling files from the daemon (no analogous parameter exists to
699 govern the pushing of files to a daemon).
700 Compression is expensive in terms of CPU usage, so it
701 is usually good to not try to compress files that won't compress well,
702 such as already compressed files.
703
704 The "dont compress" parameter takes a space-separated list of
705 case-insensitive wildcard patterns. Any source filename matching one
706 of the patterns will not be compressed during transfer.
707
708 See the bf(--skip-compress) parameter in the bf(rsync)(1) manpage for the list
709 of file suffixes that are not compressed by default.  Specifying a value
710 for the "dont compress" parameter changes the default when the daemon is
711 the sender.
712
713 dit(bf(pre-xfer exec), bf(post-xfer exec)) You may specify a command to be run
714 before and/or after the transfer.  If the bf(pre-xfer exec) command fails, the
715 transfer is aborted before it begins.
716
717 The following environment variables will be set, though some are
718 specific to the pre-xfer or the post-xfer environment:
719
720 quote(itemization(
721   it() bf(RSYNC_MODULE_NAME): The name of the module being accessed.
722   it() bf(RSYNC_MODULE_PATH): The path configured for the module.
723   it() bf(RSYNC_HOST_ADDR): The accessing host's IP address.
724   it() bf(RSYNC_HOST_NAME): The accessing host's name.
725   it() bf(RSYNC_USER_NAME): The accessing user's name (empty if no user).
726   it() bf(RSYNC_PID): A unique number for this transfer.
727   it() bf(RSYNC_REQUEST): (pre-xfer only) The module/path info specified
728   by the user (note that the user can specify multiple source files,
729   so the request can be something like "mod/path1 mod/path2", etc.).
730   it() bf(RSYNC_ARG#): (pre-xfer only) The pre-request arguments are set
731   in these numbered values. RSYNC_ARG0 is always "rsyncd", and the last
732   value contains a single period.
733   it() bf(RSYNC_EXIT_STATUS): (post-xfer only) the server side's exit value.
734   This will be 0 for a successful run, a positive value for an error that the
735   server generated, or a -1 if rsync failed to exit properly.  Note that an
736   error that occurs on the client side does not currently get sent to the
737   server side, so this is not the final exit status for the whole transfer.
738   it() bf(RSYNC_RAW_STATUS): (post-xfer only) the raw exit value from code(waitpid()).
739 ))
740
741 Even though the commands can be associated with a particular module, they
742 are run using the permissions of the user that started the daemon (not the
743 module's uid/gid setting) without any chroot restrictions.
744
745 enddit()
746
747 manpagesection(CONFIG DIRECTIVES)
748
749 There are currently two config directives available that allow a config file to
750 incorporate the contents of other files:  bf(&include) and bf(&merge).  Both
751 allow a reference to either a file or a directory.  They differ in how
752 segregated the file's contents are considered to be.
753
754 The bf(&include) directive treats each file as more distinct, with each one
755 inheriting the defaults of the parent file, starting the parameter parsing
756 as globals/defaults, and leaving the defaults unchanged for the parsing of
757 the rest of the parent file.
758
759 The bf(&merge) directive, on the other hand, treats the file's contents as
760 if it were simply inserted in place of the directive, and thus it can set
761 parameters in a module started in another file, can affect the defaults for
762 other files, etc.
763
764 When an bf(&include) or bf(&merge) directive refers to a directory, it will read
765 in all the bf(*.conf) or bf(*.inc) files (respectively) that are contained inside
766 that directory (without any
767 recursive scanning), with the files sorted into alpha order.  So, if you have a
768 directory named "rsyncd.d" with the files "foo.conf", "bar.conf", and
769 "baz.conf" inside it, this directive:
770
771 verb(    &include /path/rsyncd.d )
772
773 would be the same as this set of directives:
774
775 verb(    &include /path/rsyncd.d/bar.conf
776     &include /path/rsyncd.d/baz.conf
777     &include /path/rsyncd.d/foo.conf )
778
779 except that it adjusts as files are added and removed from the directory.
780
781 The advantage of the bf(&include) directive is that you can define one or more
782 modules in a separate file without worrying about unintended side-effects
783 between the self-contained module files.
784
785 The advantage of the bf(&merge) directive is that you can load config snippets
786 that can be included into multiple module definitions, and you can also set
787 global values that will affect connections (such as bf(motd file)), or globals
788 that will affect other include files.
789
790 For example, this is a useful /etc/rsyncd.conf file:
791
792 verb(    port = 873
793     log file = /var/log/rsync.log
794     pid file = /var/lock/rsync.lock
795
796     &merge /etc/rsyncd.d
797     &include /etc/rsyncd.d )
798
799 This would merge any /etc/rsyncd.d/*.inc files (for global values that should
800 stay in effect), and then include any /etc/rsyncd.d/*.conf files (defining
801 modules without any global-value cross-talk).
802
803 manpagesection(AUTHENTICATION STRENGTH)
804
805 The authentication protocol used in rsync is a 128 bit MD4 based
806 challenge response system. This is fairly weak protection, though (with
807 at least one brute-force hash-finding algorithm publicly available), so
808 if you want really top-quality security, then I recommend that you run
809 rsync over ssh.  (Yes, a future version of rsync will switch over to a
810 stronger hashing method.)
811
812 Also note that the rsync daemon protocol does not currently provide any
813 encryption of the data that is transferred over the connection. Only
814 authentication is provided. Use ssh as the transport if you want
815 encryption.
816
817 Future versions of rsync may support SSL for better authentication and
818 encryption, but that is still being investigated.
819
820 manpagesection(EXAMPLES)
821
822 A simple rsyncd.conf file that allow anonymous rsync to a ftp area at
823 tt(/home/ftp) would be:
824
825 verb(
826 [ftp]
827         path = /home/ftp
828         comment = ftp export area
829 )
830
831 A more sophisticated example would be:
832
833 verb(
834 uid = nobody
835 gid = nobody
836 use chroot = yes
837 max connections = 4
838 syslog facility = local5
839 pid file = /var/run/rsyncd.pid
840
841 [ftp]
842         path = /var/ftp/./pub
843         comment = whole ftp area (approx 6.1 GB)
844
845 [sambaftp]
846         path = /var/ftp/./pub/samba
847         comment = Samba ftp area (approx 300 MB)
848
849 [rsyncftp]
850         path = /var/ftp/./pub/rsync
851         comment = rsync ftp area (approx 6 MB)
852
853 [sambawww]
854         path = /public_html/samba
855         comment = Samba WWW pages (approx 240 MB)
856
857 [cvs]
858         path = /data/cvs
859         comment = CVS repository (requires authentication)
860         auth users = tridge, susan
861         secrets file = /etc/rsyncd.secrets
862 )
863
864 The /etc/rsyncd.secrets file would look something like this:
865
866 quote(
867 tt(tridge:mypass)nl()
868 tt(susan:herpass)nl()
869 )
870
871 manpagefiles()
872
873 /etc/rsyncd.conf or rsyncd.conf
874
875 manpageseealso()
876
877 bf(rsync)(1)
878
879 manpagediagnostics()
880
881 manpagebugs()
882
883 Please report bugs! The rsync bug tracking system is online at
884 url(http://rsync.samba.org/)(http://rsync.samba.org/)
885
886 manpagesection(VERSION)
887
888 This man page is current for version 3.0.3 of rsync.
889
890 manpagesection(CREDITS)
891
892 rsync is distributed under the GNU public license.  See the file
893 COPYING for details.
894
895 The primary ftp site for rsync is
896 url(ftp://rsync.samba.org/pub/rsync)(ftp://rsync.samba.org/pub/rsync).
897
898 A WEB site is available at
899 url(http://rsync.samba.org/)(http://rsync.samba.org/)
900
901 We would be delighted to hear from you if you like this program.
902
903 This program uses the zlib compression library written by Jean-loup
904 Gailly and Mark Adler.
905
906 manpagesection(THANKS)
907
908 Thanks to Warren Stanley for his original idea and patch for the rsync
909 daemon. Thanks to Karsten Thygesen for his many suggestions and
910 documentation!
911
912 manpageauthor()
913
914 rsync was written by Andrew Tridgell and Paul Mackerras.
915 Many people have later contributed to it.
916
917 Mailing lists for support and development are available at
918 url(http://lists.samba.org)(lists.samba.org)