SFTP server: lebih baik menggunakan subsistem sftp internal SSH atau plugin ProFTPD?

11

Saya telah ditugaskan untuk menginstal server SFTP baru. Per-se, ini adalah operasi yang sangat sederhana: cukup menggunakan internal-sftpperan layanan SSH di mana-mana (dengan chrooting) sudah cukup untuk memiliki server SFTP yang andal.

Namun sudah menjadi sifat saya untuk selalu mencoba setidaknya dua pendekatan yang berbeda untuk masalah yang sama, dan saya menyadari bahwa saya dapat menggunakan ProFTPDdengan plugin sftp untuk melakukan hal yang sama, dengan manfaat tambahan dari opsi terkait transfer file yang lebih granular (misalnya: pelambatan bandwidth) ). Di sisi lain, plugin ini tidak dikompilasi (dan dibundel) secara default, dan saya ingin menghindari (mungkin) solusi "kurang diuji".

Saat ini, satu-satunya layanan yang diperlukan adalah SFTP; Namun, saya bermain di muka dan saya ingin menerapkan solusi yang tidak hanya dapat bekerja dengan SFTP, tetapi dengan FTP / S juga.

Mengingat saya akan melakukan chroot pengguna di dalam rumah mereka, apa yang menurut Anda merupakan solusi yang lebih baik?

  1. menggunakan SSH internal-sftpdan server FTP mandiri ( vsftpdatau proftpd) untuk layanan FTP / S
  2. hanya menggunakan layanan ProFTPD dengan plugin yang relevan
ssh ftp sftp proftpd shodanshok
sumber
1
ini mungkin berdasarkan opini. Jika Anda tidak menggunakan internal-sftpdari sshd, Anda mungkin harus menggunakan SFTP pada berbeda dari pelabuhan deffault (jika Anda masih ingin sshd) yang tentunya masalah kegunaan.
Jakuje
Hai, terima kasih atas masukan Anda. Saya tidak mencari pendapat, bukan saran praktik terbaik dari seseorang yang sudah mengevaluasi dua opsi yang dijelaskan. Anda menunjukkan tentang mendengarkan port TCP benar, tetapi dalam pengaturan ini menggunakan port yang berbeda untuk SSH itu bukan masalah.
shodanshok
1
Saya tidak yakin bahwa "yang belum diuji" adalah penilaian yang adil atas mod_sftpmodul ProFTPD ; ada banyak situs yang memang menggunakannya setiap hari.
Castaglia
Terima kasih atas komentarnya. Jadi, apakah mod_sftplebih umum digunakan daripada saya? Bagus. Lagi pula, saya tidak akan menilai mod_sftpsebagai belum diuji, karena alasan itulah saya menggunakan tanda kutip. Saya akan menulis ulang bagian pertanyaan itu.
shodanshok

Jawaban:

4

Server sftp SSH memiliki beberapa persyaratan tambahan untuk direktori chroot, yaitu. pengguna tidak dapat memiliki akses tulis ke chroot dir di beberapa lingkungan ini mungkin menjadi masalah.

Jika Anda juga membutuhkan ftp / ftps saya sarankan untuk mencoba mod_sftp. Kami menggunakannya dalam produksi di sekitar 20 server dengan lebih dari 10k akun dengan masalah hampir nihil (sftp adalah protokol yang paling sedikit digunakan). Kelemahannya mungkin tidak mendukung metode otentikasi kata sandi, tetapi mendukung kunci rsa dan keyboard-interaktif sehingga hanya masalah bagi klien yang sangat tua.

Lazy404
sumber
20 servers with over 10k accounts- terima kasih banyak atas laporan Anda, ini sangat dihargai. Tentang perbedaan dalam izin menulis di rumah, saya sudah bekerja di sekitarnya;)
shodanshok
3

Ini adalah utas yang lebih lama tetapi saya hanya ingin menambahkan bagi pembaca di masa mendatang bahwa kami telah mengonfigurasi server untuk menggunakan proftpd dengan mod_sftp selama bertahun-tahun tanpa masalah sama sekali. Saya sangat suka bahwa pemisahan layanan memberikan kontrol yang baik atas keamanan, layanan itu sendiri, dan manajemen pengguna.

Anda dapat mengkonfigurasi proftpd untuk mendukung salah satu atau kedua kata sandi / kunci dengan mod_sftp jika Anda juga menyertakan modul sftp_pam. Berikut contoh konfigurasi yang memungkinkan keduanya:

# Include all available modules
Include /etc/proftpd/modules.conf

<Global>
  <IfModule mod_sftp.c>
    <IfModule mod_sftp_pam.c>
      SFTPPAMEngine on
      SFTPPAMServiceName sftp
    </IfModule>

    SFTPEngine on
    SFTPLog /var/log/proftpd/sftp.log

    # Configure both the host keys
    SFTPHostKey /etc/ssh/ssh_host_rsa_key
    SFTPHostKey /etc/ssh/ssh_host_dsa_key

    SFTPAuthMethods publickey password keyboard-interactive
    SFTPAuthorizedUserKeys file:/etc/proftpd/authorized_keys/%u

    # Enable compression
    SFTPCompression delayed
  </IfModule>
</Global>
Diogenes deLight
sumber