Quelles sont les alternatives sécurisées au FTP? [fermé]

Cette histoire de Hacker News concerne les inconvénients du FTP. La seule raison pour laquelle je peux configurer FTP est que c'est facile.

Je connais et utilise scpdéjà, mais parfois je veux partager des fichiers avec quelqu'un sans lui donner sshaccès à mon serveur. Je veux qu'ils puissent télécharger et télécharger des fichiers, mais rien d'autre, et je veux les restreindre à un seul répertoire. Je veux aussi que leur connexion soit cryptée ssh.

Quelles sont les alternatives au FTP qui répondent à ces critères?

Proftpd possède un serveur sftp intégré qui vous permettrait de séparer complètement les utilisateurs de sshd à des fins de transfert de fichiers. Vous pouvez le configurer pour qu'il utilise un fichier passwd complètement séparé pour les isoler encore plus (il est difficile de se connecter à un système avec ssh et de traverser un chroot si vous n'avez pas réellement d'utilisateur dans / etc / passwd .. .)

proftpd vous permet également de chrooter et d'isoler assez facilement l'utilisateur sftp dans un ensemble de répertoires.

Nous faisons quelque chose comme ça:

LoadModule mod_sftp.c

<VirtualHost 10.1.1.217>

    ServerName  "ftp.example.com"

    # from http://www.proftpd.org/docs/howto/NAT.html
    MasqueradeAddress   1.2.3.4
    PassivePorts 27001 27050

    UseSendfile off

    ExtendedLog         /var/log/proftpd/access.log WRITE,READ default
    ExtendedLog         /var/log/proftpd/auth.log AUTH auth

    AuthUserFile /etc/proftpd/AuthUsersFile
    AuthOrder           mod_auth_file.c 

    <IfModule mod_sftp.c>
        Port 10022
    SFTPAuthorizedUserKeys file:/etc/proftpd/ssh_authorized_keys/%u
        SFTPEngine On
        SFTPLog /var/log/proftpd/sftp.log
        SFTPHostKey /etc/ssh/proftpd-ssh_host_rsa_key
        SFTPHostKey /etc/ssh/proftpd-ssh_host_dsa_key
        MaxLoginAttempts 6
    </IfModule>
</VirtualHost>

J'utiliserais WebDav avec un serveur compatible https! L'authentification est alors basée sur le schéma d'autorisation http standard. Un guide pour mettre en place webdav avec apache se trouvent ici il est seulement neccessary de mettre cette ressource derrière https, et je l' ai trouvé ici une belle description comment faire cela .

Vous n'avez pas spécifié "gratuit" comme exigence, donc je vais jeter le paquet Mass Transit par grouplogic. C'est probablement un peu exagéré pour la plupart des gens, et hors de leur gamme de prix, mais la suite de fonctionnalités est tout simplement fantastique. Obtenez un deuxième serveur Mass Transit et allumez l'automatisation et vous déplacez certains fichiers très rapidement.

Vous pouvez configurer sftpqui utilise sshdans un mode similaire à ftp.

Vous pouvez créer des utilisateurs (un ou plusieurs, cela dépend si c'est correct ou non pour chaque utilisateur d'accéder aux fichiers les uns des autres) dans votre machine, leur donner shell / bin / false et chrootchaque utilisateur dans un répertoire où ces fichiers doivent être mis.

Vous pouvez utiliser pure-ftpd avec le cryptage TLS activé. La configuration est très simple, pour activer l'option TLS de décommentation du cryptage dans le fichier de configuration (une seule ligne :)), configurez vos clients pour se connecter via ftps et c'est tout. (Vous devez vous rappeler que tous les clients ftp ne prennent pas en charge ftps).

Vous pouvez activer les téléchargements et les téléchargements avec rsync sur ssh sans autoriser les connexions en définissant rsync comme shell de connexion pour l'utilisateur. Cela permet tous les avantages de ssh, y compris les connexions de certificats, le chiffrement et les autorisations de système de fichiers standard, tout en n'activant pas les comptes shell (car le compte n'aura pas de shell mais rsync =)).