my sftp beats your ftp’s ass big time!

Het klinkt onwaarschijnlijk, maar soms wordt me nog gevraagd om de FTP-toegang naar een unix/linux-server waar ik vaagweg iets mee te maken heb, open te laten zetten. Ik zeg dan steevast “Neen”, want ik ben -dat weet ge- een moeilijk mens. Daarnaast kan ik mijn botte weigering ook met een paar stevige argumenten staven, zoals daar zijn:

  • FTP is by design absoluut geen veilig protocol
  • op een server mag nooit meer geïnstalleerd staan dan het allernoodzakelijkste; dit beperkt onnodig gebruik van system resources en maakt de attack vector voor hackers (crackers) kleiner
  • en vooral: er is een fantastisch alternatief, SFTP

Mijn antwoord is in de realiteit dus eerder: “Neen, maar ge kunt wel SFTP-toegang krijgen” en ik vervolg met “Dat kan ongeveer hetzelfde, maar het is een uitbreiding op Secure SHell en staat standaard al op de server geïnstalleerd”.
“Maar dat kennen we niet, SFTP”, verzetten de laatsten der FTP’ers zich soms nog. Ik verwijs hun dan naar het sublieme WinSCP voor Windows of naar de FileZilla voor Windows, Mac OS X of Linux en vermeld tenslotte dat ook bv. Dreamweaver SFTP ook perfect ondersteund. Met die (en vele andere) software kan iedereen in een fancy grafische omgeving genieten van het veilige gevoel van SFTP. Zeg nu zelf, waarom zoudt ge dan nog FTP-toegang moeten hebben?
(Voetnoot: wat ik meestal niet vertel 😉

8 thoughts on “my sftp beats your ftp’s ass big time!”

  1. Ik gebruik enkel Smart-ftp en heb als ‘leek’ mijn bedenkingen. Namelijk dat ik in folders geraak van collega’s. Die niet weten dat ik daar in kan. En denken dat hun files goed beveiligd zijn door hun mooi wachtwoord.
    En dus ga ik ervan uit dat mijn collega’s ook binnen kunnen in mijn zogezegd beveiligde files.

    Reply
  2. welkom georgina 🙂
    wat je, eenmaal ingelogd op een server, kunt zien files/folders van andere gebruikers, hangt niet zozeer af van de manier (ftp/ sftp/ …) waarop je de verbinding maakt, maar wel van de algemene instellingen op die server en van de persoonlijke instellingen van de eigenaar van die files op die server (en evt. in zijn/ haar ftp-software).
    om ervoor te zorgen dat anderen jouw files niet kunnen zien, moet je -ervan uitgaande dat we over een unix/linux-machine spreken en dat alle gebruikers in dezelfde groep zitten- de rechten op files (en directories) op -rwx—— (ook 0700) zetten opdat anderen ze niet kunnen openen.

    Reply
  3. You don’t really need hacks like scponly and rssh if you only want to give sftp access. Just use ‘Match’ with ‘ForceCommand’ in your sshd_config. The command to force is /usr/libexec/sftp-server. This does only allow sftp however, no scp.

    Reply

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.