Мой друг говорит, что давать людям SFTP и, следовательно, доступ к оболочке в тюрьме - плохая идея. Однако я думаю, вам нужен открытый порт для работы FTPES.
Какой способ подключения лучше?
Вполне возможно предоставить кому-либо доступ к SCP / SFTP без оболочки.
Что мне нравится в SFTP:
Что мне нравится в FTPS:
Зависит от того, что вы считаете важным ...
Вы можете использовать директиву ChrootDirectory и «Subsystem internal-sftp», чтобы ограничить пользователя, не давая ему возможности запустить оболочку. Нет причин, по которым он должен быть менее безопасным, чем FTPS. Вам также следует отключить TCPForwarding и связанные с ним параметры.
В идеале у вас может быть другой процесс sshd, выполняющий только SFTP на другом порту или интерфейсе, чтобы сильно отличаться от ssh администратора. Это необходимо при запуске RHEL5 IIRC, потому что он имеет более старый openssh, но в более новых версиях есть еще несколько директив для ограничения пользователей на основе различных критериев.
Ваш друг прав в одном: доступ к оболочке в тюрьме не годится. Если вы не сделаете того, что я только что описал, и просто заблокируете пользователей, предоставив им доступ к оболочке каким-либо образом, вы не в безопасности. В любом случае в этом нет необходимости, так что это не должно быть проблемой.