Servidor SFTP: melhor usar o subsistema sftp interno SSH ou o plugin ProFTPD?

11

Recebi a tarefa de instalar um novo servidor SFTP. Por si só, esta é uma operação muito simples: simplesmente usar o papel internal-sftp do serviço SSH onipresente (com chrooting) é suficiente para ter um servidor SFTP confiável.

No entanto, é da minha natureza sempre tentar pelo menos duas abordagens diferentes para o mesmo problema, e percebi que posso usar ProFTPD com um plug-in sftp para fazer a mesma coisa, com o benefício adicional de transações mais granulares relacionadas a arquivos opções (por exemplo: otimização de largura de banda). Por outro lado, este plugin não é compilado (e empacotado) por padrão, e eu gostaria de evitar (talvez) a solução "menos testada".

No momento, o único serviço necessário é o SFTP; no entanto, estou jogando com antecedência e gostaria de implementar uma solução que não só funcione com o SFTP, mas também com o FTP / S.

Considerando que eu vou chroot usuários dentro de suas casas, o que você acha que é uma solução melhor?

  1. use SSH internal-sftp e um servidor FTP independente ( vsftpd ou proftpd ) para serviços FTP / S
  2. use apenas o serviço ProFTPD com o plug-in relevante
por shodanshok 20.04.2016 / 14:39

2 respostas

4

O servidor sftp do SSH tem alguns requisitos adicionais para diretórios chroot, ie. usuário não pode ter acesso de gravação ao diretório chroot em alguns ambientes, isso pode ser um problema.

Se você também precisa de ftp / ftps, eu sugiro que você ofereça o mod_sftp. Estamos usando isso em produção em cerca de 20 servidores com mais de 10k contas com problemas quase nulos (sftp é o protocolo menos usado). A desvantagem pode ser que ele não suporte o método de autenticação por senha, mas ele suporta rsa key e keyboard-interactive, portanto, é apenas um problema para clientes muito antigos.

    
por 30.05.2016 / 22:37
2

Este é um segmento antigo, mas gostaria apenas de adicionar para futuros leitores que estivemos configurando servidores para usar o proftpd com mod_sftp por anos sem nenhum problema. Eu gosto muito que a separação dos serviços ofereça um controle refinado sobre a segurança, o serviço em si e o gerenciamento de usuários.

Você pode configurar o proftpd para suportar uma ou ambas as senhas / chaves com mod_sftp, se você também incluir o módulo sftp_pam. Aqui está o exemplo de configuração que ativa os dois:

# Include all available modules
Include /etc/proftpd/modules.conf

<Global>
  <IfModule mod_sftp.c>
    <IfModule mod_sftp_pam.c>
      SFTPPAMEngine on
      SFTPPAMServiceName sftp
    </IfModule>

    SFTPEngine on
    SFTPLog /var/log/proftpd/sftp.log

    # Configure both the host keys
    SFTPHostKey /etc/ssh/ssh_host_rsa_key
    SFTPHostKey /etc/ssh/ssh_host_dsa_key

    SFTPAuthMethods publickey password keyboard-interactive
    SFTPAuthorizedUserKeys file:/etc/proftpd/authorized_keys/%u

    # Enable compression
    SFTPCompression delayed
  </IfModule>
</Global>
    
por 07.04.2017 / 04:01