Назад | Перейти на главную страницу

Какой способ подключения лучше? SFTP против FTPS / ES

Мой друг говорит, что давать людям SFTP и, следовательно, доступ к оболочке в тюрьме - плохая идея. Однако я думаю, вам нужен открытый порт для работы FTPES.

Какой способ подключения лучше?

Вполне возможно предоставить кому-либо доступ к SCP / SFTP без оболочки.

Что мне нравится в SFTP:

  • Строго определенный стандарт
  • Нет необходимости в подключении к данным
  • Соединение всегда защищено
  • Список каталогов единообразен и машиночитаем.
  • Разрешения, манипуляции с атрибутами, блокировка файлов, ...

Что мне нравится в FTPS:

  • Широко известен и используется
  • Легко понять, что происходит
  • Передача с сервера на сервер
  • Особенности сертификата X.509
  • Поддержка FTP и SSL / TLS встроена во многие браузеры, FTP-клиенты, ...

Зависит от того, что вы считаете важным ...

Вы можете использовать директиву ChrootDirectory и «Subsystem internal-sftp», чтобы ограничить пользователя, не давая ему возможности запустить оболочку. Нет причин, по которым он должен быть менее безопасным, чем FTPS. Вам также следует отключить TCPForwarding и связанные с ним параметры.

В идеале у вас может быть другой процесс sshd, выполняющий только SFTP на другом порту или интерфейсе, чтобы сильно отличаться от ssh администратора. Это необходимо при запуске RHEL5 IIRC, потому что он имеет более старый openssh, но в более новых версиях есть еще несколько директив для ограничения пользователей на основе различных критериев.

Ваш друг прав в одном: доступ к оболочке в тюрьме не годится. Если вы не сделаете того, что я только что описал, и просто заблокируете пользователей, предоставив им доступ к оболочке каким-либо образом, вы не в безопасности. В любом случае в этом нет необходимости, так что это не должно быть проблемой.