Máy chủ SFTP: tốt hơn để sử dụng hệ thống con sftp nội bộ SSH hoặc plugin ProFTPD?

Tôi đã được giao nhiệm vụ cài đặt một máy chủ SFTP mới. Per-se, đây là một hoạt động rất đơn giản: chỉ cần sử dụng internal-sftpvai trò của dịch vụ SSH có mặt khắp nơi (với chroot) là đủ để có một máy chủ SFTP đáng tin cậy.

Tuy nhiên, bản chất của tôi là luôn thử ít nhất hai cách tiếp cận khác nhau cho cùng một vấn đề và tôi nhận ra rằng tôi có thể sử dụng ProFTPDvới plugin sftp để làm điều tương tự, với lợi ích bổ sung của các tùy chọn liên quan đến filetransfer chi tiết hơn (ví dụ: điều chỉnh băng thông ). Mặt khác, plugin này không được biên dịch (và đóng gói) theo mặc định và tôi muốn tránh (có lẽ) giải pháp "ít được thử nghiệm".

Hiện tại, dịch vụ cần thiết duy nhất là SFTP; tuy nhiên, tôi đang chơi trước và tôi muốn triển khai một giải pháp không chỉ hoạt động với SFTP mà còn với FTP / S.

Xem xét rằng tôi sẽ chroot người dùng trong nhà của họ, bạn cảm thấy gì là một giải pháp tốt hơn?

sử dụng SSH internal-sftpvà máy chủ FTP độc lập ( vsftpdhoặc proftpd) cho các dịch vụ FTP / S
chỉ sử dụng dịch vụ ProFTPD với plugin có liên quan

— shodanshok
nguồn

đây có lẽ là dựa trên quan điểm Nếu bạn không sử dụng internal-sftpcác sshd, có thể bạn sẽ phải sử dụng SFTP trên khác với cổng deffault (nếu bạn vẫn muốn sshd) mà chắc chắn là vấn đề khả năng sử dụng.

— Jakuje

Xin chào, cảm ơn cho đầu vào của bạn. Tôi không tìm kiếm ý kiến, thay vào đó là một lời khuyên thực tiễn tốt nhất từ một người đã đánh giá hai lựa chọn được mô tả. Bạn chỉ ra rằng cổng TCP nghe là đúng, nhưng trong thiết lập này sử dụng một cổng khác cho SSH thì đó không phải là vấn đề.

— shodanshok

Tôi không chắc chắn rằng "chưa được kiểm tra" là một đánh giá công bằng về mod_sftpmô-đun của ProFTPD ; có rất nhiều trang web trên thực tế sử dụng nó hàng ngày.

— Castaglia

Cảm ơn bạn vì lời góp ý. Vì vậy, mod_sftpthường được sử dụng hơn tôi mặc dù? Tuyệt quá. Dù sao, tôi sẽ không đánh giá mod_sftplà chưa được kiểm tra, đó là vì lý do đó tôi đã sử dụng các trích dẫn. Tôi sẽ điều chỉnh lại một phần của câu hỏi.

— shodanshok

Câu trả lời:

Máy chủ sftp của SSH có một số yêu cầu bổ sung cho các thư mục chroot, tức là. người dùng không thể truy cập ghi vào thư mục chroot trong một số môi trường, đây có thể là một vấn đề.

Nếu bạn cũng cần ftp / ftps, tôi khuyên bạn nên dùng mod_sftp. Chúng tôi đang sử dụng nó trong sản xuất trên khoảng 20 máy chủ với hơn 10 nghìn tài khoản với các vấn đề gần như không (sftp là giao thức ít được sử dụng nhất). Nhược điểm có thể là nó không hỗ trợ phương thức xác thực mật khẩu, nhưng nó hỗ trợ khóa rsa và tương tác bàn phím nên nó chỉ là vấn đề đối với các máy khách rất cũ.

— Lazy404
nguồn

20 servers with over 10k accounts- cảm ơn rất nhiều vì báo cáo của bạn, nó được đánh giá cao Về sự khác biệt trong giấy phép viết tại nhà, tôi đã làm việc xung quanh nó;)

— shodanshok

Đây là một chủ đề cũ hơn nhưng tôi chỉ muốn thêm cho những người đọc trong tương lai rằng chúng tôi đã cấu hình máy chủ để sử dụng proftpd với mod_sftp trong nhiều năm mà không gặp vấn đề gì. Tôi rất thích việc phân tách các dịch vụ mang lại sự kiểm soát chi tiết về bảo mật, bản thân dịch vụ và quản lý người dùng.

Bạn có thể định cấu hình proftpd để hỗ trợ một trong hai hoặc cả mật khẩu / khóa với mod_sftp nếu bạn cũng bao gồm mô-đun sftp_pam. Đây là cấu hình ví dụ cho phép cả hai:

# Include all available modules
Include /etc/proftpd/modules.conf

<Global>
  <IfModule mod_sftp.c>
    <IfModule mod_sftp_pam.c>
      SFTPPAMEngine on
      SFTPPAMServiceName sftp
    </IfModule>

    SFTPEngine on
    SFTPLog /var/log/proftpd/sftp.log

    # Configure both the host keys
    SFTPHostKey /etc/ssh/ssh_host_rsa_key
    SFTPHostKey /etc/ssh/ssh_host_dsa_key

    SFTPAuthMethods publickey password keyboard-interactive
    SFTPAuthorizedUserKeys file:/etc/proftpd/authorized_keys/%u

    # Enable compression
    SFTPCompression delayed
  </IfModule>
</Global>

— Diogenes deLight
nguồn