FTP ja SFTP ero käyttäjän näkökulmasta

protokolla

Yritän tässä selvittää käyttäjän näkökulmasta noiden kahden protokollan eroja. En vaan oikein ymmärrä, että mitä eroa on FTP- ja SFTP-käyttäjillä. Ainakin Linuxissa molemmat käyttäjät luodaan samalla tavalla, mutta miten määritetään, että kuka on FTP- ja kuka SFTP-käyttäjä?

16

440

Äänestä

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • M-Kar

      SFTP on salattu. Käyttäjätilit tehdään sinne palvelimeen mihin otetaan yhteyksiä.

      • protokolla

        Kyllä näin on, mutta voiko FTP-käyttäjä käyttää halutessaan SFTP-protokollaa tiedonsiirrossa?

      • M-Kar
        protokolla kirjoitti:

        Kyllä näin on, mutta voiko FTP-käyttäjä käyttää halutessaan SFTP-protokollaa tiedonsiirrossa?

        Samoilla käyttäjätileillä ne toimii.

      • protokolla
        M-Kar kirjoitti:

        Samoilla käyttäjätileillä ne toimii.

        Okei. Eli kuten jo totesitkin, että SFTP on salattu FTP-yhteys, niin kuinka sitten Linuxissa määritetään, että juuri tietty FTP-käyttäjä voi käyttää vain salattua yhteyttä? Tai molempia, tämäkin on käsittääkseni mahdollisa.

      • M-Kar
        protokolla kirjoitti:

        Okei. Eli kuten jo totesitkin, että SFTP on salattu FTP-yhteys, niin kuinka sitten Linuxissa määritetään, että juuri tietty FTP-käyttäjä voi käyttää vain salattua yhteyttä? Tai molempia, tämäkin on käsittääkseni mahdollisa.

        Käyttäjäoikeuksilla.

      • protokolla

        Kokeilin eilen yhdistää palvelimeen FTP- sekä SFTP-yhteydellä, mutta jostain syystä FTP-yhteys ei toiminut. Eli käytän siis Ubuntu serveriä virtuaalikoneella. Kun käynnistin virtuaalikoneen (VBox), niin aluksi molemmat yhteydet toimivat kuten pitääkin. Sitten virtuaalikoneen rebootin jälkeen FTP ei enää toiminutkaan, vaan ainoastaan SSH/SFTP-yhteys toimi. Määritin SSH-palvelimen asetuksiin (sshd_config), että tietty ryhmä kuuluu SSH:n piiriin (Match group "ryhmä"). Tarkistin vielä, että testikäyttäjä kuuluu ko. ryhmään. Siitä huolimatta FTP:llä ei saanut otettua yhteyttä palvelimeen. Mikähän siinä mahtaa olla vialla?

      • FUfQwoJM
        protokolla kirjoitti:

        Okei. Eli kuten jo totesitkin, että SFTP on salattu FTP-yhteys, niin kuinka sitten Linuxissa määritetään, että juuri tietty FTP-käyttäjä voi käyttää vain salattua yhteyttä? Tai molempia, tämäkin on käsittääkseni mahdollisa.

        ssh ja ftp serveri ovat erillisä ohjelmia ja molemmat conffataan erikseen.

    • Dollar389

      Kuten M-Kar sanoi, käyttäjäoikeuksilla.

      Annat FTP-serverin asetuksista käyttöoikeuden ryhmälle X (jos ryhmää X ei ole olemassa luo sellainen), sen jälkeen liität käyttäjän/käyttäjät ryhmään X, joilla on oikeus käyttää sitä FTP:tä. Sama homma SFTP:lle, mut ryhmän nimi toki toiseksi. SFTP:n asetukset tais löytyy SSH:n alta, eli jos on oikeus käyttää SSH:ta niin on oikeus käyttää SFTP:tä.

    • protokolla

      Erään työtehtävän yhteydessä selvisi tämäkin asia. Tehtiin sftp-käyttäjä ja passwd-tiedostoon ko. käyttäjätunnuksen rivin loppuun tuli /sbin/nologin -määritys. Kyseinen käyttäjä pääsi kirjautumaan palvelimelle vain ftp-yhteydellä. Kun muutettiin tuo määritys /bin/bash -määreeksi, niin tällöin toimi sekä ftp- että sftp-yhteys. Voisiko joku avata minulle noiden eroa?

      • FUfQwoJM

        SSH yhteys tarvitsee komentotulkin etäkoneella. Mikäli haluaa tarjota jollekin vain SCP/SFTP yhteyden niin silloin kannatta vaihtaa komentotulkiksi scponly. Jostain syystä Debianin nykyisestä (Jessie) pakettivarastosta tuo puuttuu. Miten lie muut jakelut.

      • protokolla

        Nyt täytyy vielä pyytää vähän tarkennuksia tähän asiaan. Jotta FTP/SFTP-käyttäjä voi kirjautua palvelimelle, niin vaaditaan tuo /bin/bash-määre, eli tällöin käyttäjä saa oikeudet myös komentotulkkiin (chroot). Eikö tämä ole hieman vaarallista? En haluaisi antaa tätä oikeutta käyttäjille. Scponlya ei ole mahdollista käyttää tässä RedHat-palvelimessa. Onko muita vaihtoehtoja?

      • FUfQwoJM
        protokolla kirjoitti:

        Nyt täytyy vielä pyytää vähän tarkennuksia tähän asiaan. Jotta FTP/SFTP-käyttäjä voi kirjautua palvelimelle, niin vaaditaan tuo /bin/bash-määre, eli tällöin käyttäjä saa oikeudet myös komentotulkkiin (chroot). Eikö tämä ole hieman vaarallista? En haluaisi antaa tätä oikeutta käyttäjille. Scponlya ei ole mahdollista käyttää tässä RedHat-palvelimessa. Onko muita vaihtoehtoja?

        Kun sinulla asiakas tulee vankilaan (chroot) niin voit laittaa sinne sellaiset työkalut mitä haluat antaa. Ulos ei sieltä pääse.

      • protokolla
        FUfQwoJM kirjoitti:

        Kun sinulla asiakas tulee vankilaan (chroot) niin voit laittaa sinne sellaiset työkalut mitä haluat antaa. Ulos ei sieltä pääse.

        Kyllä muuten pääsee ulos ja selaamaan levyn hakemistoja, jos käyttäjätunnuksen shelliksi on määritetty /bin/bash. Ilman tätä määritystä käyttäjä ei saa yhteyttä palvelimeen SFTP:llä. Nyt tarvitsisin neuvoja, että miten SFTP-käyttäjän saa "vangittua" omaan kotihakemistoonsa?

      • FUfQwoJM

        Kun tullaan chrootilla tehtyyn vankilan niin käyttäjän juurihakemisto on vankilahakemisto. Ei Linuxin juurihakemisto. Mikäli näin ei ole niin jokin epäonnistui.
        Googletin ohjesivun missä vankilan teko opetetaan.
        http://www.58bits.com/blog/2014/01/09/ssh-and-sftp-chroot-jail
        Sitten on olemassa aputyökaluja kuten jailer.

      • protokolla

        Tässä minun tapauksessani on käynyt niin, että SFTP-käyttäjä pääsee kirjautumaan komentotulkilla palvelimelle. Se pääsee myös poistumaan kotihakemistostaan, eli pääsee selaamaan koko palvelinta, eli avaamaan tiedostoja yms. Käyttäjä ei kuitenkaan pääse sisään esim. /home-hakemiston muiden käyttäjien kansioihin. Nyt tämä käyttäjä pitäisi "lukita" omaan kotihakemistoonsa.

    • FUfQwoJM

      Kotihakemistoon on vaikea lukita ketään koska silloin ei voi tehdä yhtään mitään. Esimerkiksi tiedostolistausta varten tarvitaan oikeus /bin hakemiston ls komentoon.
      Jakeluissa taitaa olla vakiona rajoitettu rbash komentotulkki. En ole koskaan kokeillut miten se toimii.

    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Takaisin ylös

    Luetuimmat keskustelut

    1. Onko sulla

      suoja työ paikka? 🤔🤷‍♂️
      Ikävä
      30
      3888

    2. Joensuun kaupunki levittelee tonttitietoja Keskisuomalaiselle

      Sähköposteja ja tonttitietoja levitellään mm. Pasi Koivumaalle
      Joensuu
      13
      1869

    3. Oletko nainen alkanut kammoamaan minua

      Sinua ei näy eikä kuulu, ja ilmeisesti kiertelet tilanteita. Oletko huomannut, että olet vieläkin ajatuksissani luvattom
      Ikävä
      63
      1324

    4. Saako 60 v vielä töitä? Arto Nyberg puhuu suoraan elämästä ilman töitä

      Arto Nyberg täyttää tänään 60 v. Onnea! Nyberg totuttiin näkemään suoran haastatteluohjelman kapteenina vuodesta toise
      Maailman menoa
      95
      1256

    5. Toivoisitko Rakas vielä?

      Haluaisitko vielä? Uskoisin osaavani näyttää sinulle, kuinka ainutlaatuinen nainen olet.
      Ikävä
      67
      1135

    6. Tiesitkö tätä ex-miehistä? Noriko Salo jysäytti yllätyspaljastuksen

      Noriko Salo ja ex-F1 kuski Mika Salo olivat naimisissa v. 1999-2022. Kirsi Salon ex-mies puolestaan on muusikko Sammy A
      Kotimaiset julkkisjuorut
      5
      981

    7. Koska tajusit silloin aikanaan

      että olin ihastunut sinuun? 🤭😍 Taisin olla aika läpinäkyvä 🫣❤️
      Ikävä
      47
      901

    8. Keskustelua kasteesta

      You tubessa kaksi pappia keskustelivat kasteesta ja kritisoivat raamatullista uskovien kastetta. Toinen heistä yritti
      Kaste
      356
      868

    9. Ihan pieni näkeminen vaan

      👋 ja minä olisin valmis jo vaikka mihin sun kanssa. Nämä on näitä.. 🤫🫣😘💥
      Ikävä
      26
      851

    10. En haluaisi kaiken kuihtuvan pois

      ilman, että olemme voineet jutella rauhassa kasvotusten... Mutta mistä ihmeestä löydän sinut?
      Ikävä
      39
      841
    Aihe
    TietosuojaselosteKäyttöehdotEvästeasetuksetSäännöt