Se me ha encomendado la tarea de instalar un nuevo servidor SFTP. Per-se, esta es una operación muy simple: simplemente usando el internal-sftp
rol del servicio SSH ubicuo (con chrooting) es suficiente para tener un servidor SFTP confiable.
Sin embargo, en mi naturaleza siempre intento al menos dos enfoques diferentes para el mismo problema, y me di cuenta de que puedo usar ProFTPD
un complemento sftp para hacer lo mismo, con el beneficio adicional de opciones más granulares relacionadas con la transferencia de archivos (por ejemplo: limitación de ancho de banda ) Por otro lado, este complemento no está compilado (y incluido) de forma predeterminada, y me gustaría evitar (quizás) una solución "menos probada".
Por el momento, el único servicio requerido es SFTP; Sin embargo, estoy jugando con anticipación y me gustaría implementar una solución que no solo funcione con SFTP, sino también con FTP / S.
Teniendo en cuenta que voy a eliminar usuarios dentro de sus hogares, ¿cuál crees que es una mejor solución?
- use SSH
internal-sftp
y un servidor FTP independiente (vsftpd
oproftpd
) para servicios FTP / S - solo use el servicio ProFTPD con el complemento correspondiente
internal-sftp
desshd
, es probable que tenga que usar SFTP en el puerto diferente que deffault (si todavía quiere sshd) que sin duda es problema de usabilidad.mod_sftp
módulo de ProFTPD ; Hay muchos sitios que de hecho lo usan a diario.mod_sftp
usa más comúnmente que yo? Excelente. De todos modos, no juzgaríamod_sftp
como no probado, fue por eso que usé las citas. Reformularé esa parte de la pregunta.Respuestas:
El servidor sftp de SSH tiene algunos requisitos adicionales para los directorios chroot, es decir. el usuario no puede tener acceso de escritura al directorio chroot en algunos entornos, esto podría ser un problema.
Si también necesita ftp / ftps, sugeriría probar mod_sftp. Lo estamos usando en producción en unos 20 servidores con más de 10k cuentas con problemas casi nulos (sftp es el protocolo menos utilizado). La desventaja podría ser que no admite el método de autenticación de contraseña, pero admite la clave rsa y el teclado interactivo, por lo que solo es un problema para clientes muy antiguos.
fuente
20 servers with over 10k accounts
- Muchas gracias por su informe, es muy apreciado. Sobre la diferencia en el permiso de escritura de casa, ya trabajé alrededor;)Este es un hilo antiguo, pero me gustaría agregar para futuros lectores que hemos estado configurando servidores para usar proftpd con mod_sftp durante años sin ningún problema. Me gusta mucho que la separación de servicios brinde un control detallado sobre la seguridad, el servicio en sí mismo y la administración de usuarios.
Puede configurar proftpd para admitir una o ambas contraseñas / claves con mod_sftp si también incluye el módulo sftp_pam. Aquí hay una configuración de ejemplo que permite ambos:
fuente