Início / server / Perguntas / 771699
Accepted
shodanshok
Asked: 2016-04-21 04:39:41 +0800 CST

Servidor SFTP: melhor usar o subsistema sftp interno SSH ou o plug-in ProFTPD?

  • 772

Fui encarregado de instalar um novo servidor SFTP. Por si só, esta é uma operação muito simples: simplesmente usar a internal-sftpfunção do onipresente serviço SSH (com chrooting) é suficiente para ter um servidor SFTP confiável.

No entanto, é da minha natureza sempre tentar pelo menos duas abordagens diferentes para o mesmo problema e percebi que posso usar ProFTPDum plug-in sftp para fazer a mesma coisa, com o benefício adicional de opções mais granulares relacionadas à transferência de arquivos (por exemplo: limitação de largura de banda ). Por outro lado, este plugin não é compilado (e empacotado) por padrão, e eu gostaria de evitar (talvez) uma solução "menos testada".

No momento, o único serviço necessário é o SFTP; no entanto, estou jogando com antecedência e gostaria de implementar uma solução que funcione não apenas com SFTP, mas também com FTP/S.

Considerando que vou fazer o chroot dos usuários dentro de suas casas, o que você acha que é uma solução melhor?

  1. use SSH internal-sftpe um servidor FTP autônomo ( vsftpdou proftpd) para serviços FTP/S
  2. use apenas o serviço ProFTPD com o plug-in relevante
ftp ssh sftp proftpd

2 respostas

  1. Best Answer

    O servidor sftp do SSH tem alguns requisitos adicionais para diretórios chroot, ou seja. o usuário não pode ter acesso de gravação ao diretório chroot em alguns ambientes, isso pode ser um problema.

    Se você também precisa de ftp/ftps, sugiro dar uma chance ao mod_sftp. Estamos usando em produção em cerca de 20 servidores com mais de 10 mil contas com quase nenhum problema (o sftp é o protocolo menos usado). A desvantagem pode ser que ele não suporta o método de autenticação de senha, mas suporta a tecla rsa e o teclado interativo, portanto, é apenas um problema para clientes muito antigos.

    • 4

  2. Este é um tópico antigo, mas gostaria apenas de acrescentar para futuros leitores que configuramos servidores para usar proftpd com mod_sftp por anos sem nenhum problema. Gosto muito do fato de a separação de serviços fornecer um controle refinado sobre a segurança, o serviço em si e o gerenciamento de usuários.

    Você pode configurar o proftpd para suportar uma ou ambas as senhas/chaves com mod_sftp se também incluir o módulo sftp_pam. Aqui está uma configuração de exemplo que permite ambos:

    # Include all available modules
Include /etc/proftpd/modules.conf

<Global>
  <IfModule mod_sftp.c>
    <IfModule mod_sftp_pam.c>
      SFTPPAMEngine on
      SFTPPAMServiceName sftp
    </IfModule>

    SFTPEngine on
    SFTPLog /var/log/proftpd/sftp.log

    # Configure both the host keys
    SFTPHostKey /etc/ssh/ssh_host_rsa_key
    SFTPHostKey /etc/ssh/ssh_host_dsa_key

    SFTPAuthMethods publickey password keyboard-interactive
    SFTPAuthorizedUserKeys file:/etc/proftpd/authorized_keys/%u

    # Enable compression
    SFTPCompression delayed
  </IfModule>
</Global>
    • 3

relate perguntas