Quais são algumas alternativas seguras para o FTP? [fechadas]

21

Esta notícia do Hacker News é sobre as desvantagens do FTP. A única razão pela qual eu posso configurar o FTP é que é fácil.

Eu conheço e uso scp , mas às vezes eu quero compartilhar arquivos com alguém sem dar a eles ssh acesso ao meu servidor. Eu quero que eles possam fazer upload e download de arquivos, mas nada mais, e eu quero restringi-los a um único diretório. Eu também quero que sua conexão seja criptografada como ssh .

Quais são algumas alternativas ao FTP que atendem a esses critérios?

    
por Nathan Long 30.01.2012 / 15:26

6 respostas

7

O Proftpd tem um servidor sftp integrado que permite separar completamente os usuários do sshd para fins de transferência de arquivos. Você pode configurá-lo para que ele use um arquivo passwd completamente separado para isolá-los ainda mais (é difícil entrar em um sistema com o ssh e romper um chroot se você não tiver um usuário em / etc / passwd .. .)

O proftpd também permite chroot e isolar o usuário do sftp para um conjunto de diretórios facilmente.

Nós fazemos algo assim:

LoadModule mod_sftp.c

<VirtualHost 10.1.1.217>

    ServerName  "ftp.example.com"

    # from http://www.proftpd.org/docs/howto/NAT.html
    MasqueradeAddress   1.2.3.4
    PassivePorts 27001 27050

    UseSendfile off

    ExtendedLog         /var/log/proftpd/access.log WRITE,READ default
    ExtendedLog         /var/log/proftpd/auth.log AUTH auth

    AuthUserFile /etc/proftpd/AuthUsersFile
    AuthOrder           mod_auth_file.c 

    <IfModule mod_sftp.c>
        Port 10022
    SFTPAuthorizedUserKeys file:/etc/proftpd/ssh_authorized_keys/%u
        SFTPEngine On
        SFTPLog /var/log/proftpd/sftp.log
        SFTPHostKey /etc/ssh/proftpd-ssh_host_rsa_key
        SFTPHostKey /etc/ssh/proftpd-ssh_host_dsa_key
        MaxLoginAttempts 6
    </IfModule>
</VirtualHost>
    
por 31.01.2012 / 00:45
3

Eu usaria WebDav com um servidor habilitado para https! A autenticação é então baseada no esquema de autorização http padrão. Um guia para configurar o webdav com o apache pode ser encontrado aqui , então é necessário colocar esse recurso para trás https, e aqui eu encontrei uma boa descrição de como fazer que .

    
por 30.01.2012 / 15:45
1

Você não especificou "free" como um requisito, então eu vou jogar fora o pacote Mass Transit by grouplogic. É provavelmente um pouco exagerado para a maioria das pessoas, e fora de sua faixa de preço, mas a suíte de recursos é nada menos que fantástica. Obtenha um segundo servidor de Mass Transit e ilumine a automação e você está movendo alguns arquivos muito rápido.

    
por 30.01.2012 / 15:30
0

Você pode configurar sftp que usa ssh em um modo semelhante a ftp .

Você pode criar alguns usuários (um ou mais, depende se está certo ou não para cada usuário acessar os arquivos uns dos outros) em sua máquina, dar a eles shell / bin / false e chroot de cada usuário para algum diretório onde esses arquivos devem ser colocados.

    
por 30.01.2012 / 16:08
0

Você pode usar o pure-ftpd com a criptografia TLS ativada. A configuração é muito simples, para habilitar a opção TLS de remoção de criptografia no arquivo de configuração (apenas uma linha :)), configure seus clientes para se conectar via ftps e é isso. (Você deve lembrar que nem todos os clientes ftp suportam ftps).

    
por 31.01.2012 / 18:16
-1

Você poderia ativar up-and-downloads com rsync em ssh sem permitir logins definindo rsync como o shell de login para o usuário. Isso habilita todas as vantagens do ssh, incluindo logins de certificados, criptografia e operação padrão de permissões do sistema de arquivos, sem habilitar as contas do shell (pois a conta não terá shell, mas rsync =)).

    
por 30.01.2012 / 15:29