Какие безопасные альтернативы FTP? [закрыто]

Эта история Hacker News полностью посвящена недостаткам FTP. Единственная причина, по которой я могу настроить FTP - это то, что это легко.

Я уже знаю и использую scp, но иногда хочу поделиться файлами с кем-то, не давая им sshдоступ к моему серверу. Я хочу, чтобы они могли загружать и скачивать файлы, но не более того, и я хочу ограничить их одним каталогом. Я также хочу, чтобы их соединение было зашифровано, как ssh.

Какие альтернативы FTP соответствуют этим критериям?

Proftpd имеет встроенный сервер sftp, который позволит вам полностью отделить пользователей от sshd для передачи файлов. Вы можете настроить его так, чтобы он использовал совершенно отдельный файл passwd для их дальнейшей изоляции (трудно войти в систему с помощью ssh и прорваться через chroot, если у вас нет пользователя в / etc / passwd .. .)

proftpd также позволяет вам легко выполнять поиск и изоляцию пользователя sftp в набор каталогов.

Мы делаем что-то вроде этого:

LoadModule mod_sftp.c

<VirtualHost 10.1.1.217>

    ServerName  "ftp.example.com"

    # from http://www.proftpd.org/docs/howto/NAT.html
    MasqueradeAddress   1.2.3.4
    PassivePorts 27001 27050

    UseSendfile off

    ExtendedLog         /var/log/proftpd/access.log WRITE,READ default
    ExtendedLog         /var/log/proftpd/auth.log AUTH auth

    AuthUserFile /etc/proftpd/AuthUsersFile
    AuthOrder           mod_auth_file.c 

    <IfModule mod_sftp.c>
        Port 10022
    SFTPAuthorizedUserKeys file:/etc/proftpd/ssh_authorized_keys/%u
        SFTPEngine On
        SFTPLog /var/log/proftpd/sftp.log
        SFTPHostKey /etc/ssh/proftpd-ssh_host_rsa_key
        SFTPHostKey /etc/ssh/proftpd-ssh_host_dsa_key
        MaxLoginAttempts 6
    </IfModule>
</VirtualHost>

Я бы использовал WebDav с сервером https! Аутентификация тогда основана на стандартной схеме авторизации http. Руководство для установки WebDAV с Apache можно найти здесь то только положить необходимое этот ресурс за HTTPS, и здесь я нашел описание хорошего , как сделать что .

Вы не указали в качестве требования "free", поэтому я собираюсь выбросить пакет Mass Transit от grouplogic. Это, вероятно, немного излишне для большинства людей, и вне их ценового диапазона, но набор функций - не что иное как фантастический. Получите второй сервер Mass Transit и включите автоматизацию, и вы очень быстро перемещаете некоторые файлы.

Вы можете настроить, sftpкоторый использует sshв режиме, аналогичном ftp.

Вы можете создать несколько пользователей (одного или нескольких, это зависит от того, будет ли у каждого пользователя доступ к файлам друг друга или нет, chrootназначить ему shell / bin / false и каждому пользователю какой-то каталог, в котором эти файлы должны находиться. размещены.

Вы можете использовать чистый ftpd с включенным шифрованием TLS. Конфигурация очень проста: включить шифрование и разблокировать опцию TLS в файле конфигурации (только одна строка :)), настроить ваши клиенты для подключения через ftps и все. (Вы должны помнить, что не все FTP-клиенты поддерживают FTP).

Вы можете разрешить загрузку и загрузку с помощью rsync через ssh без разрешения входа, установив rsync в качестве оболочки входа для пользователя. Это включает все плюсы ssh, включая вход в систему сертификатов, шифрование и стандартную операцию разрешений файловой системы, при этом не включая учетные записи оболочки (поскольку учетная запись не будет иметь оболочку, но rsync =)).