Vlákno názorů k článku Jak nahradit FTP pomocí SFTP a zamknout uživatele od Petr Stehlík - Jak už jsem vykřikoval loni při tvé přednášce...
-
Petr StehlíkZlatý podporovatelJak už jsem vykřikoval loni při tvé přednášce na LinuxTagu, pořád preferuji FTP-TLS/SSL (v tvém dělení FTPS) oproti řešením postaveným nad SSH. S vsftpd to celé nakonfiguruji na 3 řádky:
chroot_local_user=YES
force_local_logins_ssl=YES
force_local_data_ssl=NOTím zajistím, že uživatelé hlásící se jménem/heslem (tj. local users) budou v chrootu, jejich credentials budou poslány šifrovaně a data už potom nešifrovaně, tj. maximální rychlostí bez zbytečné režie.
Shell jim dám klidně /bin/false, nemusím řešit žádné jejich omezování, používají klasický FTP jak byli zvyklí.
A hlavní věc – pořád můžu mít v /etc/hosts.deny zakázáno logování přes SSH z cizích IP adres, což u SFTP nejde (pro tcpwrappers používá sftp stejné sshd jako normální ssh, ne?), jestli se nepletu.
-
PSIkappa (neregistrovaný)
FTP-TLS/SSL je samozrejme krajsie a vykonnejsie riesenie, ale ma problem so striktnymi firewallmi a NAT-om, dokonca v pripade ze obe strany su za NAT-om, tak to nechodi vobec.
RFC 4217 sice popisuje sposob ako sa s tym vyrovnat – CCC FTP command (Clear Command Channel), ale za prve to musi byt specialne povolene na strane serveru a za druhe tu musi podporovat tiez klient, navyse to moze vies k bezpecnostnym problemom.Takze z mojho pohladu este si musime pockat na skoro idealny, bezpecny a vykonny protokol na efektivny prenos dat.
ČLÁNKY DO MAILU