Servidor SFTP: mejor usar el subsistema sftp interno SSH o el complemento ProFTPD?

11

Se me ha encomendado la tarea de instalar un nuevo servidor SFTP. Per-se, esta es una operación muy simple: simplemente usando el internal-sftprol del servicio SSH ubicuo (con chrooting) es suficiente para tener un servidor SFTP confiable.

Sin embargo, en mi naturaleza siempre intento al menos dos enfoques diferentes para el mismo problema, y ​​me di cuenta de que puedo usar ProFTPDun complemento sftp para hacer lo mismo, con el beneficio adicional de opciones más granulares relacionadas con la transferencia de archivos (por ejemplo: limitación de ancho de banda ) Por otro lado, este complemento no está compilado (y incluido) de forma predeterminada, y me gustaría evitar (quizás) una solución "menos probada".

Por el momento, el único servicio requerido es SFTP; Sin embargo, estoy jugando con anticipación y me gustaría implementar una solución que no solo funcione con SFTP, sino también con FTP / S.

Teniendo en cuenta que voy a eliminar usuarios dentro de sus hogares, ¿cuál crees que es una mejor solución?

  1. use SSH internal-sftpy un servidor FTP independiente ( vsftpdo proftpd) para servicios FTP / S
  2. solo use el servicio ProFTPD con el complemento correspondiente
shodanshok
fuente
1
Esto es probablemente basado en la opinión. Si no se utiliza internal-sftpde sshd, es probable que tenga que usar SFTP en el puerto diferente que deffault (si todavía quiere sshd) que sin duda es problema de usabilidad.
Jakuje
Hola, gracias por tu aporte. No busco opiniones, sino un consejo de mejores prácticas de alguien que ya evaluó las dos opciones descritas. Usted señala que el puerto TCP de escucha es correcto, pero en esta configuración el uso de un puerto diferente para SSH no es un problema.
shodanshok
1
No estoy seguro de que "no probado" sea un juicio justo del mod_sftpmódulo de ProFTPD ; Hay muchos sitios que de hecho lo usan a diario.
Castaglia
Gracias por su comentario. Entonces, ¿se mod_sftpusa más comúnmente que yo? Excelente. De todos modos, no juzgaría mod_sftpcomo no probado, fue por eso que usé las citas. Reformularé esa parte de la pregunta.
shodanshok

Respuestas:

4

El servidor sftp de SSH tiene algunos requisitos adicionales para los directorios chroot, es decir. el usuario no puede tener acceso de escritura al directorio chroot en algunos entornos, esto podría ser un problema.

Si también necesita ftp / ftps, sugeriría probar mod_sftp. Lo estamos usando en producción en unos 20 servidores con más de 10k cuentas con problemas casi nulos (sftp es el protocolo menos utilizado). La desventaja podría ser que no admite el método de autenticación de contraseña, pero admite la clave rsa y el teclado interactivo, por lo que solo es un problema para clientes muy antiguos.

Lazy404
fuente
20 servers with over 10k accounts- Muchas gracias por su informe, es muy apreciado. Sobre la diferencia en el permiso de escritura de casa, ya trabajé alrededor;)
shodanshok
3

Este es un hilo antiguo, pero me gustaría agregar para futuros lectores que hemos estado configurando servidores para usar proftpd con mod_sftp durante años sin ningún problema. Me gusta mucho que la separación de servicios brinde un control detallado sobre la seguridad, el servicio en sí mismo y la administración de usuarios.

Puede configurar proftpd para admitir una o ambas contraseñas / claves con mod_sftp si también incluye el módulo sftp_pam. Aquí hay una configuración de ejemplo que permite ambos:

# Include all available modules
Include /etc/proftpd/modules.conf

<Global>
  <IfModule mod_sftp.c>
    <IfModule mod_sftp_pam.c>
      SFTPPAMEngine on
      SFTPPAMServiceName sftp
    </IfModule>

    SFTPEngine on
    SFTPLog /var/log/proftpd/sftp.log

    # Configure both the host keys
    SFTPHostKey /etc/ssh/ssh_host_rsa_key
    SFTPHostKey /etc/ssh/ssh_host_dsa_key

    SFTPAuthMethods publickey password keyboard-interactive
    SFTPAuthorizedUserKeys file:/etc/proftpd/authorized_keys/%u

    # Enable compression
    SFTPCompression delayed
  </IfModule>
</Global>
Diogenes deLight
fuente