Skip to content
PortsDB

Référence des ports

Port 873 (TCP) – Démon rsync

Démon rsync — protocole rsync natif pour la synchronisation de fichiers par modules.

tcpWell-knownSouvent attaqué

État par défaut

Ouvert uniquement là où rsyncd est exécuté comme service (miroirs, sauvegardes). Souvent mal configuré avec des modules anonymes lisibles par tous.

Attaques courantes

  • Énumération et téléchargement de modules anonymes (exfiltration de données)
  • Modules accessibles en écriture détournés pour téléverser ou écraser des fichiers
  • Interception en clair des identifiants et données sur le réseau
  • Traversée de chemin / mauvaise config de module exposant le système de fichiers

Durcissement

  • Exiger l'authentification (auth users + fichier de secrets) ; désactiver l'accès anonyme
  • Définir 'read only = yes' et cadrer strictement le chemin de chaque module
  • Lier à une interface d'administration et filtrer TCP 873 depuis Internet
  • Préférer rsync sur SSH (port 22) plutôt que le démon autonome
  • Utiliser 'hosts allow'/'hosts deny' et maintenir rsync à jour

Commande nmap

nmap -p873 --script rsync-list-modules <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 873

Le port 873 héberge le démon rsync (rsyncd), qui sert des fichiers via le protocole natif de rsync en utilisant des modules nommés mappés vers des répertoires. Il est largement utilisé pour exécuter des miroirs publics, pousser des sauvegardes et synchroniser du contenu entre serveurs, puisque rsync ne transfère que les parties modifiées des fichiers. Contrairement à rsync sur SSH, le démon autonome écoute directement sur TCP 873.

Pourquoi c'est important pour la sécurité

Le protocole natif du démon est en clair et son authentification est optionnelle et faible — un fichier de secrets partagé au mieux. L'échec le plus courant est un module laissé anonyme et lisible par tous, donc quiconque atteint le port 873 peut le lister et télécharger tout son contenu, une cause fréquente de fuites de données accidentelles. Un module configuré en écriture est pire : il permet aux attaquants de téléverser ou d'écraser des fichiers, altérant potentiellement des logiciels en miroir ou des sauvegardes.

Comment il est attaqué

Les attaquants scannent TCP 873 et énumèrent les modules, puis téléchargent leur contenu pour exfiltrer des données. Les modules en écriture sont détournés pour implanter ou écraser des fichiers. Sur le réseau, le protocole en clair expose tous les identifiants et données à l'interception, et des chemins de modules mal configurés peuvent exposer bien plus du système de fichiers que prévu.

Liste de durcissement

Exigez l'authentification avec auth users et un fichier de secrets protégé, et désactivez l'accès anonyme. Définissez read only = yes et cadrez strictement le chemin de chaque module ; évitez les modules en écriture. Liez le démon à une interface d'administration et filtrez TCP 873 depuis Internet, et utilisez hosts allow/hosts deny. Si possible, préférez rsync sur SSH (port 22) pour le chiffrement et une authentification forte. La commande nmap ci-dessus liste les modules exposés sur un hôte que vous êtes autorisé à tester.

Ports liés

Port 22Port 21Port 2049Port 69

Questions fréquentes

Le démon rsync sur le port 873 est-il chiffré ?
Non. Le protocole natif du démon rsync sur TCP 873 est en clair avec une authentification optionnelle et faible. Pour la confidentialité et une authentification forte, exécutez rsync sur SSH (port 22).
Pourquoi les modules rsync anonymes sont-ils dangereux ?
Un module anonyme lisible par tous permet à quiconque atteint le port 873 de lister et télécharger ses fichiers — une cause fréquente d'exposition accidentelle de données sur les miroirs publics.