FTPの安全な代替手段は何ですか?[閉まっている]

22

このHacker Newsのストーリーは、FTPの欠点に関するものです。FTPを設定する唯一の理由は、それが簡単だからです。

私はscpすでに知っていて使用していsshますが、サーバーへのアクセスを許可せずに誰かとファイルを共有したい場合があります。ファイルをアップロードおよびダウンロードできるようにしたいが、それ以外は何もしないようにし、それらを単一のディレクトリに制限したい。また、それらの接続をのように暗号化する必要がありますssh

これらの基準を満たすFTPの代替手段は何ですか?

security  ftp  sftp 
ネイサン・ロング
ソース
2
sshを使用せずにscpを使用できます
Stone
1
私はその記事を読むつもりはありませんが、FTPは閉じたネットワーク(地下のサーバーとの間の2階のラボ)で使用するように設計されていることを覚えておく価値があります。まだ公共ネットワークで使用されているのは驚くべきことです。
ジョンガーデニアーズ
1
ftpはまったく設計されていないと主張する人もいるかもしれませんが、閉じたドアがロックされたドアと怒った視線でアクセス制御が行われたときに、閉鎖性がネットワークの目に見えるプロパティになるずっと前に、ファイル転送用のソフトウェアを作成するさまざまな人々によって想像された良いアイデアによって進化しました。
エローエン

回答:

7

Proftpdには組み込みのsftpサーバーがあり、ファイル転送のためにユーザーをsshdから完全に分離できます。完全に独立したpasswdファイルを使用してさらに分離するように設定できます(実際に/ etc / passwdにユーザーがいない場合、sshでシステムにログインし、chrootを突破するのは困難です。 )

proftpdを使用すると、sftpユーザーをchrootして、ディレクトリのセットに簡単に分離することもできます。

このようなことをします:

LoadModule mod_sftp.c

<VirtualHost 10.1.1.217>

    ServerName  "ftp.example.com"

    # from http://www.proftpd.org/docs/howto/NAT.html
    MasqueradeAddress   1.2.3.4
    PassivePorts 27001 27050

    UseSendfile off

    ExtendedLog         /var/log/proftpd/access.log WRITE,READ default
    ExtendedLog         /var/log/proftpd/auth.log AUTH auth

    AuthUserFile /etc/proftpd/AuthUsersFile
    AuthOrder           mod_auth_file.c 

    <IfModule mod_sftp.c>
        Port 10022
    SFTPAuthorizedUserKeys file:/etc/proftpd/ssh_authorized_keys/%u
        SFTPEngine On
        SFTPLog /var/log/proftpd/sftp.log
        SFTPHostKey /etc/ssh/proftpd-ssh_host_rsa_key
        SFTPHostKey /etc/ssh/proftpd-ssh_host_dsa_key
        MaxLoginAttempts 6
    </IfModule>
</VirtualHost>
トラビス・キャンベル
ソース
1
初心者を支援するために、OPは、このセットアップを設定する助けを必要とする場合、私はここで完全に基本的なチュートリアルがありますcsrdu.org/nauman/2011/02/13/...を
recluze
3

私が使用するWebDAVをサーバーを有効にhttpsで!この認証は、標準のhttp認証スキームに基づいています。ApacheでWebDAVを設定するためのガイドを見つけることができ、ここで、httpsの後ろにそのリソースを配置するだけneccessaryであり、ここでは私が行うにはどのように素敵な説明見つかった ことを

ジョーク
ソース
ここで使用されている言語を考えると、少なくとも英語版の記事にリンクできたはずです。
ジョンガーデニアーズ
母は申し訳ありませんが、その間違いを認識していませんでした。修正していただきありがとうございます!
ヨック
1

要件として「無料」を指定しなかったので、grouplogicによってMass Transitパッケージを破棄します。おそらくほとんどの人にとっては少しやり過ぎで、価格帯からは外れていますが、機能スイートは驚くほど素晴らしいものです。2台目のMass Transitサーバーを入手して自動化を開始すると、いくつかのファイルを非常に高速に移動できます。

宇宙飛行士
ソース
0

に似たモードsftpで使用するようにセットアップできます。sshftp

マシンにユーザーを作成し(1人以上、各ユーザーが互いのファイルにアクセスするかどうかによって異なります)、shell / bin / falseとchroot各ユーザーをそれらのファイルがあるディレクトリに割り当てます置いた。

ルイス
ソース
0

TLS暗号化を有効にしてpure-ftpdを使用できます。設定は非常に簡単です。設定ファイルで暗号化解除コメントTLSオプションを有効にし(1行のみ:))、クライアントがFTP経由で接続するように設定します。(すべてのftpクライアントがftpsをサポートしているわけではないことを覚えておく必要があります)。

B14D3
ソース
-1

ユーザーのログインシェルとしてrsyncを設定することにより、ログインを許可せずにsshを介したrsyncでアップおよびダウンロードを有効にできます。これにより、証明書ログイン、暗号化、標準のファイルシステム許可操作など、sshのすべての利点が有効になりますが、シェルアカウントは有効になりません(アカウントにはシェルはありませんが、rsync =)。

エロエン
ソース
そして、それはどのように安全ですか?まだクリアテキスト...
EEAA
それは設定方法によって異なります。一般的な方法(私が見た唯一の方法)は、sshを使用してrsyncをログインシェルとして設定するか、または(ルートアクセス用の)コマンド固有のssh証明書です。
エローエン
1
Rsyncは、サービスを実行するとき(答えでお勧めします)、暗号化されていません。もちろん、rsync + sshの場合はそうではありません。答えを編集して、意味をより明確にすることができます。
EEAA
変更が発生しました(上記のコメントが不適切な場合に誰かが見つけた場合)。
エローエン
FTPやFTPのようなプロトコル用の使いやすいインターフェースは数多くありますが、rsyncについては個人的には知りません。対象ユーザーが技術に詳しくない場合は問題になる可能性があります。
ジョンガーデニアーズ
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.