Sicherer File Transfer

[yhirmikq]

Hallo,
ich suche eine Möglichkeit meinen Benutzern den FTP Upload ihrer Daten ohne das unsichere FTP anzubieten. Es gibt ja FTPS und SFTP, was gibt es noch und was benutzt ihr?

Die Benutzer sollen keinen Shellaccount bekommen, sondern nur Daten in ihr www Verzeichnis kopieren dürfen und die Daten von dort natürlich wieder löschen, im Prinzip also FTP Funktionen.

[mstuebner]

Hallo,
ich suche eine Möglichkeit meinen Benutzern den FTP Upload ihrer Daten ohne das unsichere FTP anzubieten. Es gibt ja FTPS und SFTP, was gibt es noch und was benutzt ihr?

WinSCP

[captaincrunch]

Die Benutzer sollen keinen Shellaccount bekommen, sondern nur Daten in ihr www Verzeichnis kopieren dürfen und die Daten von dort natürlich wieder löschen, im Prinzip also FTP Funktionen.

Dann schau dir mal WebDAV ( http://webdav.org/ ) an. Shellaccounts kannst du dir damit absolut sparen, denn selbst beim scp brauchst du genau diese (selbst wenn du da sehr beschränkte Shells vergeben kannst).

[dea]

CIFS wäre neben WebDAV vll. auch 'ne Idee, alldieweil die meisten ja doch WinDoze-Clients nutzen und diese nativ CIFS sprechen können.

Allerdings bekomme ich bei solchen Geschichten immer Bauchschmerzen ... DAV und CIFS sind, genauso wie NFS, Coda, AFS und Konsorten, schwierig abzusichern, teilweise per se nicht sicher und auch immer wieder Ziel von Attacken bzw. exploits ...

Ich persönlich würde an Deiner Stelle versuchen, per S/FTP die Angelegenheit zu behandeln (warum muss es eigentlich SFTP sein? Wenn es nur um die Authentisierung geht gibt's einfachere Wege). Irgendwo hatte ich mal gelesen, dass es einen chroot-Patch für OpenSSH gibt - damit könntest Du die User auch problemlos auf ihre Datenverzeichnisse einschränken ....

[yhirmikq]

Ich persönlich würde an Deiner Stelle versuchen, per S/FTP die Angelegenheit zu behandeln (warum muss es eigentlich SFTP sein? Wenn es nur um die Authentisierung geht gibt's einfachere Wege). Irgendwo hatte ich mal gelesen, dass es einen chroot-Patch für OpenSSH gibt - damit könntest Du die User auch problemlos auf ihre Datenverzeichnisse einschränken ....

Mir geht es um zwei Sachen: verschlüsselte Paßwörter, und dass die Benutzer die Maschine nicht zum starten eigener Programme nutzen. Wenn ich einen Shell-Account habe kann ich z.B. jederzeit einen Spider oder so laufen lassen, das soll nicht gehen.

Dass die Datenübertragung selbst verschlüsselt ist, ist überhaupt nicht wichtig, da ja sowieso Internetinhalte übertragen werden, die sowieso öffntlich sind.

[yhirmikq]

Ich glaube ich habe mich entschieden. Da heute pizzashack.org wieder online ist, werde ich das ganze mit sftp machen, meinen Kunden empfehle ich dann den FileZilla, ich glaube das ist ein ganz gutes Gespann-

Danke! :lol:

[dea]

Hmm .... Ich würd' Dir ja den ProFTPd anraten, der kan afaik PAM bzw. Authentisierung und Logging über DB (MySQL). Bei der DB basierten Lösung benötigst Du noch nicht mal lokale User (soweit ich das verstanden habe), das könnte also eine passende Geschichte sein. Bedenke, dass Du für SFTP lokale User benötigst. Du kannst diese zwar durch das zuweisen eine "leeren" Shell (/bin/false) gewissermaßen "kastrieren" aber damit bleibt Dir lediglich der (für Dich weniger relevante) Vorteil der verschlüsselten Ã?bertragung.

Wat isn pizzashack.org? Hab' grad' mal versucht, darauf zuzugreifen und hab nur ein "Host not found" bekommen ...

[yhirmikq]

Unter pizzashack gibt es eine Shell für SFTP (mit /bin/false ist kein SFTP möglich, da gibt es permission denied!). Der Server ist meiner Erfahrung nach sehr schlecht erreichbar, falls ich mich gestern vertippt habe hier:
http://www.pizzashack.org/rssh/ ist die korrekte URL.

Noch was: Wenn ich den proFTPD nehme und den über PAM authentifizieren lasse, ist das Paßwort dann verschlüsselt? Ich glaube nicht, oder doch?

Gruß Sebastian

[captaincrunch]

Noch was: Wenn ich den proFTPD nehme und den über PAM authentifizieren lasse, ist das Paßwort dann verschlüsselt? Ich glaube nicht, oder doch?

Nein, da FTP standradmäßig die Passworte im Klartext durch die Leitung schickt.

[dea]

Unter pizzashack gibt es eine Shell für SFTP (mit /bin/false ist kein SFTP möglich, da gibt es permission denied!). Der Server ist meiner Erfahrung nach sehr schlecht erreichbar, falls ich mich gestern vertippt habe hier:
http://www.pizzashack.org/rssh/ ist die korrekte URL.

Aaah - ich bin erleuchtet :) Danke, werd' ich mir mal anguggen :)

Wg. /bin/false: Nicht dass ich es schon ausprobiert hätte, aber afair muss die auch noch in /etc/shells oder so eingertagen sein, dann sollte es kalappern ...

[sascha]

Danke für den Tipp mit rssh. Habs gleich installiert und es funktioniert prächtig.

[mark]

Hi.

Hab rssh auch gleich mal installiert. Leider bekomme ich, wenn ich WinSCP2 benutze folgende Fehlermeldung (letzte Zeile).

Code: Select all

May  5 22:32:34 home rssh[3818]: setting log facility to LOG_USER
May  5 22:32:34 home rssh[3818]: allowing scp to all users
May  5 22:32:34 home rssh[3818]: setting umask to 022
May  5 22:32:34 home rssh[3818]: user mark attempted to log in with a shell

mit scp von einer Linux Machine funktionert es einwandfrei. Noch jemand mit dem Problem ? Macht WinSCP2 etwa auch eine ssh-Shell auf ?

Ach ja: Default Einstellungen... WinSCP2 sagt "Not Connected", das wars dann aber auch schon.

Gruß
mark

[yhirmikq]

Hi.

Hab rssh auch gleich mal installiert. Leider bekomme ich, wenn ich WinSCP2 benutze folgende Fehlermeldung (letzte Zeile).
[..]
mit scp von einer Linux Machine funktionert es einwandfrei. Noch jemand mit dem Problem ? Macht WinSCP2 etwa auch eine ssh-Shell auf ?

Lies mal die FAQ von rssh, da steht, dass Win SCP kein reines SFTP oder scp und dass der Autor die zusätzlichen Kommandos nicht unterstützen möchte!

Du solltest FileZilla benutzen, empfiehlt der Autor.

Gruß Sebastian.

[mark]

Lies mal die FAQ von rssh, da steht, dass Win SCP kein reines SFTP oder scp und dass der Autor die zusätzlichen Kommandos nicht unterstützen möchte!

Du solltest FileZilla benutzen, empfiehlt der Autor.

Gruß Sebastian.

Danke. Hab ich doch glatt gestern abend ueberlesen.

Gruss
mark