Het klinkt onwaarschijnlijk, maar soms wordt me nog gevraagd om de FTP-toegang naar een unix/linux-server waar ik vaagweg iets mee te maken heb, open te laten zetten. Ik zeg dan steevast “Neen”, want ik ben -dat weet ge- een moeilijk mens. Daarnaast kan ik mijn botte weigering ook met een paar stevige argumenten staven, zoals daar zijn:
- FTP is by design absoluut geen veilig protocol
- op een server mag nooit meer geïnstalleerd staan dan het allernoodzakelijkste; dit beperkt onnodig gebruik van system resources en maakt de attack vector voor hackers (crackers) kleiner
- en vooral: er is een fantastisch alternatief, SFTP
Mijn antwoord is in de realiteit dus eerder: “Neen, maar ge kunt wel SFTP-toegang krijgen” en ik vervolg met “Dat kan ongeveer hetzelfde, maar het is een uitbreiding op Secure SHell en staat standaard al op de server geïnstalleerd”.
“Maar dat kennen we niet, SFTP”, verzetten de laatsten der FTP’ers zich soms nog. Ik verwijs hun dan naar het sublieme WinSCP voor Windows of naar de FileZilla voor Windows, Mac OS X of Linux en vermeld tenslotte dat ook bv. Dreamweaver SFTP ook perfect ondersteund. Met die (en vele andere) software kan iedereen in een fancy grafische omgeving genieten van het veilige gevoel van SFTP. Zeg nu zelf, waarom zoudt ge dan nog FTP-toegang moeten hebben?
(Voetnoot: wat ik meestal niet vertel 😉
- dat SFTP over het algemeen wat trager is dan FTP
- dat SFTP niet alle FTP-commando’s ondersteund (maar daar merk je met winscp en andere goeie clients toch niets van)
- dat SFTP-users dikwijls (maar niet altijd) ook shell-toegang tot de servers in kwestie hebben)
Er bestaat ook de ‘scponly’ shell. (http://sublimation.org/scponly)
interessant, werkt in een scp-only omgeving blijkbaar vlotter met winscp dan rrsh.
Ik gebruik enkel Smart-ftp en heb als ‘leek’ mijn bedenkingen. Namelijk dat ik in folders geraak van collega’s. Die niet weten dat ik daar in kan. En denken dat hun files goed beveiligd zijn door hun mooi wachtwoord.
En dus ga ik ervan uit dat mijn collega’s ook binnen kunnen in mijn zogezegd beveiligde files.
welkom georgina 🙂
wat je, eenmaal ingelogd op een server, kunt zien files/folders van andere gebruikers, hangt niet zozeer af van de manier (ftp/ sftp/ …) waarop je de verbinding maakt, maar wel van de algemene instellingen op die server en van de persoonlijke instellingen van de eigenaar van die files op die server (en evt. in zijn/ haar ftp-software).
om ervoor te zorgen dat anderen jouw files niet kunnen zien, moet je -ervan uitgaande dat we over een unix/linux-machine spreken en dat alle gebruikers in dezelfde groep zitten- de rechten op files (en directories) op -rwx—— (ook 0700) zetten opdat anderen ze niet kunnen openen.
@serge; net binnen via debian security; “Joachim Breitner discovered that Subversion support in scponly is inherently insecure, allowing execution of arbitrary commands. Further investigation showed that rsync and Unison support suffer from similar issues.”
meer op http://www.debian.org/security/2008/dsa-1473
You don’t really need hacks like scponly and rssh if you only want to give sftp access. Just use ‘Match’ with ‘ForceCommand’ in your sshd_config. The command to force is /usr/libexec/sftp-server. This does only allow sftp however, no scp.
thanks, didn’t know about Match & ForceCommand in sshd_config, must read up on that apparently!
Thx voor de verduidelijking.