¿Cuál es la forma correcta de configurar FTP en un servidor web multisitio?

2

Estoy ejecutando Ubuntu 12.04 como un servidor web con múltiples sitios web. Quiero otorgar a los usuarios acceso FTPS a ciertos directorios para administrar el sitio web. Tengo los directorios para múltiples sitios configurados normalmente -

/var/www/htdocs/website1
/var/www/htdocs/website2

He instalado vsftpd usando esta guía:

https://www.digitalocean.com/community/tutorials/how-to-configure-vsftpd-to-use-ssl-tls-on-an-ubuntu-vps

pero en lugar de configurar el usuario como se especifica en la guía, agregué user1 al grupo www-data . Cambié el directorio de inicio de los usuarios al directorio de sitios individuales.

Así que aquí está mi pregunta, sé que el próximo paso sería chmod el directorio y su contenido para permitir rwx para el www-data grupo, pero no estoy seguro de si esa es la forma correcta de hacerlo desde un punto de vista de la seguridad. ¿Cuáles son las implicaciones de establecer las cosas de esa manera y hay una mejor manera de hacerlo?

permissions apache-http-server ftp vsftpd mactire
fuente
chmod para permitir el acceso al usuario individual, al tiempo que permite derechos de rx para el grupo
td512
¿Por qué no usas SFTP en su lugar?
paradroid
¿Cuál es el beneficio sobre SFTP sobre FTPS? Estaba usando FTPS para la experiencia de aprendizaje, pero estoy abierto a sugerencias. El grupo ya tiene acceso de rx. ¿Tiene un ejemplo de chmod para un usuario individual? ¿No tendría que reconocerme por eso?
mactire
@mactire SFTP utiliza las mismas credenciales y ACL que SSH. No necesita configurar nada más. Solo necesita un cliente SFTP, que funciona de la misma manera que un cliente FTP.
paradroid
Para el alojamiento compartido, debe considerar más que solo FTP. Si su servidor web ejecuta PHP o no www-data(grupo) y cada directorio es legible o incluso escribible www-data, todos pueden leer (o incluso escribir) los datos de los demás. Desafortunadamente, no hay una solución indolora.
Daniel B

Respuestas:

2

La mejor opción aquí sería desinstalar ftp y usar sftp solamente. Es fácil de usar y altamente seguro (seguro de grado militar). La ACL de la carpeta wwwdoc debe configurarse de manera que el usuario pueda escribir en ella y cambiar la propiedad de los archivos / carpetas que contienen. Para conectarse al servidor, haga que los usuarios usen el cliente SFTP (comando sftp o scp para usuarios de Linux, WinSCP para usuarios de Windows).

Tomás Tudja
fuente
scpNo es un cliente SFTP.
Daniel B
No lo es, pero se puede usar como uno.
Tomas Tudja
No, no puede Utiliza el protocolo SCP. También usa SSH pero es completamente diferente de SFTP.
Daniel B