Настройка FTP^H^H^H SFTP В Спешке Для Загрузки Файлов С Использованием OpenSSH

Настройка FTP^H^H^H SFTP В Спешке Для Загрузки Файлов С Использованием OpenSSH

Безопасная передача файлов получает слишком мало внимания, возможно, потому что это слишком просто. Для безопасной передачи файлов без необходимости в специальных программах или клиентах достаточно установить и запустить сервер OpenSSH. У него есть встроенная подсистема SFTP, доступная для любой учетной записи, которая может войти в систему. Другими словами, для базового доступа SFTP ничего не нужно делать, кроме как иметь учетную запись, доступную через SSH.

Снова, для базовых загрузок и скачиваний SFTP ничего в стандартной установке OpenSSH не нужно изменять. Она уже там, готова к использованию.

Добавление сложности - учетные записи SFTP без доступа к оболочке

Удаление доступа к оболочке при этом позволяя доступ к SFTP так же просто, как три шага, если сервер OpenSSH уже установлен.

1. Создайте группу пользователей, например, sftponly
2. Добавьте пользователей в эту группу
3. Добавьте соответствующую директиву Match в конфигурацию sshd в /etc/ssh/sshd_config: Subsystem sftp internal-sftp Match Group sftponly AllowTCPForwarding no X11Forwarding no ForceCommand internal-sftp

Больше сложности - Chrooted учетные записи SFTP без доступа к оболочке

Создание chroot тюрьмы для домашних каталогов пользователей SFTP также так же легко настроить в OpenSSH.

1. Создайте группу пользователей, например, sftponly
2. Добавьте пользователей в эту группу
3. Добавьте соответствующую директиву Match в конфигурацию sshd в /etc/ssh/sshd_config: Subsystem sftp internal-sftp Match Group sftponly ChrootDirectory %h AllowTCPForwarding no X11Forwarding no ForceCommand internal-sftp

Это так просто.

Время сказать прощай FTP и FTPS

Название “FTP” часто неправильно используется для обозначения передачи файлов с использованием специального клиента. Однако это конкретный протокол.

Обычный FTP небезопасен. Вся сессия, от имени пользователя и пароля в начале до передачи данных в конце, выполняется без шифрования. Все учетные записи, которые его используют, можно считать скомпрометированными. Это сам протокол небезопасен. FTP также требует добавления и настройки специального серверного программного обеспечения, в то время как на большинстве серверов обычно уже есть SSH, а значит и SFTP, работающий и готовый к использованию.

FTP, туннелированный через SSL/TLS, это FTPS. В отличие от этого, SFTP - это новый протокол, разработанный с нуля для безопасной передачи файлов. FTPS требует еще больше настройки, чем FTP, в то время как SFTP работает из коробки, где бы ни работал сервер OpenSSH.

Заключение

Без дополнительных усилий SFTP уже доступен везде, где работает сервер OpenSSH. С минимальными изменениями доступ к оболочке может быть отключен для пользователей SFTP и даже chrooted.