Yritän tässä selvittää käyttäjän näkökulmasta noiden kahden protokollan eroja. En vaan oikein ymmärrä, että mitä eroa on FTP- ja SFTP-käyttäjillä. Ainakin Linuxissa molemmat käyttäjät luodaan samalla tavalla, mutta miten määritetään, että kuka on FTP- ja kuka SFTP-käyttäjä?
FTP ja SFTP ero käyttäjän näkökulmasta
protokolla
16
399
Vastaukset
SFTP on salattu. Käyttäjätilit tehdään sinne palvelimeen mihin otetaan yhteyksiä.
- protokolla
Kyllä näin on, mutta voiko FTP-käyttäjä käyttää halutessaan SFTP-protokollaa tiedonsiirrossa?
protokolla kirjoitti:
Kyllä näin on, mutta voiko FTP-käyttäjä käyttää halutessaan SFTP-protokollaa tiedonsiirrossa?
Samoilla käyttäjätileillä ne toimii.
- protokolla
M-Kar kirjoitti:
Samoilla käyttäjätileillä ne toimii.
Okei. Eli kuten jo totesitkin, että SFTP on salattu FTP-yhteys, niin kuinka sitten Linuxissa määritetään, että juuri tietty FTP-käyttäjä voi käyttää vain salattua yhteyttä? Tai molempia, tämäkin on käsittääkseni mahdollisa.
protokolla kirjoitti:
Okei. Eli kuten jo totesitkin, että SFTP on salattu FTP-yhteys, niin kuinka sitten Linuxissa määritetään, että juuri tietty FTP-käyttäjä voi käyttää vain salattua yhteyttä? Tai molempia, tämäkin on käsittääkseni mahdollisa.
Käyttäjäoikeuksilla.
- protokolla
Kokeilin eilen yhdistää palvelimeen FTP- sekä SFTP-yhteydellä, mutta jostain syystä FTP-yhteys ei toiminut. Eli käytän siis Ubuntu serveriä virtuaalikoneella. Kun käynnistin virtuaalikoneen (VBox), niin aluksi molemmat yhteydet toimivat kuten pitääkin. Sitten virtuaalikoneen rebootin jälkeen FTP ei enää toiminutkaan, vaan ainoastaan SSH/SFTP-yhteys toimi. Määritin SSH-palvelimen asetuksiin (sshd_config), että tietty ryhmä kuuluu SSH:n piiriin (Match group "ryhmä"). Tarkistin vielä, että testikäyttäjä kuuluu ko. ryhmään. Siitä huolimatta FTP:llä ei saanut otettua yhteyttä palvelimeen. Mikähän siinä mahtaa olla vialla?
- FUfQwoJM
protokolla kirjoitti:
Okei. Eli kuten jo totesitkin, että SFTP on salattu FTP-yhteys, niin kuinka sitten Linuxissa määritetään, että juuri tietty FTP-käyttäjä voi käyttää vain salattua yhteyttä? Tai molempia, tämäkin on käsittääkseni mahdollisa.
ssh ja ftp serveri ovat erillisä ohjelmia ja molemmat conffataan erikseen.
- Dollar389
Kuten M-Kar sanoi, käyttäjäoikeuksilla.
Annat FTP-serverin asetuksista käyttöoikeuden ryhmälle X (jos ryhmää X ei ole olemassa luo sellainen), sen jälkeen liität käyttäjän/käyttäjät ryhmään X, joilla on oikeus käyttää sitä FTP:tä. Sama homma SFTP:lle, mut ryhmän nimi toki toiseksi. SFTP:n asetukset tais löytyy SSH:n alta, eli jos on oikeus käyttää SSH:ta niin on oikeus käyttää SFTP:tä. - protokolla
Erään työtehtävän yhteydessä selvisi tämäkin asia. Tehtiin sftp-käyttäjä ja passwd-tiedostoon ko. käyttäjätunnuksen rivin loppuun tuli /sbin/nologin -määritys. Kyseinen käyttäjä pääsi kirjautumaan palvelimelle vain ftp-yhteydellä. Kun muutettiin tuo määritys /bin/bash -määreeksi, niin tällöin toimi sekä ftp- että sftp-yhteys. Voisiko joku avata minulle noiden eroa?
- FUfQwoJM
SSH yhteys tarvitsee komentotulkin etäkoneella. Mikäli haluaa tarjota jollekin vain SCP/SFTP yhteyden niin silloin kannatta vaihtaa komentotulkiksi scponly. Jostain syystä Debianin nykyisestä (Jessie) pakettivarastosta tuo puuttuu. Miten lie muut jakelut.
- protokolla
Nyt täytyy vielä pyytää vähän tarkennuksia tähän asiaan. Jotta FTP/SFTP-käyttäjä voi kirjautua palvelimelle, niin vaaditaan tuo /bin/bash-määre, eli tällöin käyttäjä saa oikeudet myös komentotulkkiin (chroot). Eikö tämä ole hieman vaarallista? En haluaisi antaa tätä oikeutta käyttäjille. Scponlya ei ole mahdollista käyttää tässä RedHat-palvelimessa. Onko muita vaihtoehtoja?
- FUfQwoJM
protokolla kirjoitti:
Nyt täytyy vielä pyytää vähän tarkennuksia tähän asiaan. Jotta FTP/SFTP-käyttäjä voi kirjautua palvelimelle, niin vaaditaan tuo /bin/bash-määre, eli tällöin käyttäjä saa oikeudet myös komentotulkkiin (chroot). Eikö tämä ole hieman vaarallista? En haluaisi antaa tätä oikeutta käyttäjille. Scponlya ei ole mahdollista käyttää tässä RedHat-palvelimessa. Onko muita vaihtoehtoja?
Kun sinulla asiakas tulee vankilaan (chroot) niin voit laittaa sinne sellaiset työkalut mitä haluat antaa. Ulos ei sieltä pääse.
- protokolla
FUfQwoJM kirjoitti:
Kun sinulla asiakas tulee vankilaan (chroot) niin voit laittaa sinne sellaiset työkalut mitä haluat antaa. Ulos ei sieltä pääse.
Kyllä muuten pääsee ulos ja selaamaan levyn hakemistoja, jos käyttäjätunnuksen shelliksi on määritetty /bin/bash. Ilman tätä määritystä käyttäjä ei saa yhteyttä palvelimeen SFTP:llä. Nyt tarvitsisin neuvoja, että miten SFTP-käyttäjän saa "vangittua" omaan kotihakemistoonsa?
- FUfQwoJM
Kun tullaan chrootilla tehtyyn vankilan niin käyttäjän juurihakemisto on vankilahakemisto. Ei Linuxin juurihakemisto. Mikäli näin ei ole niin jokin epäonnistui.
Googletin ohjesivun missä vankilan teko opetetaan.
http://www.58bits.com/blog/2014/01/09/ssh-and-sftp-chroot-jail
Sitten on olemassa aputyökaluja kuten jailer. - protokolla
Tässä minun tapauksessani on käynyt niin, että SFTP-käyttäjä pääsee kirjautumaan komentotulkilla palvelimelle. Se pääsee myös poistumaan kotihakemistostaan, eli pääsee selaamaan koko palvelinta, eli avaamaan tiedostoja yms. Käyttäjä ei kuitenkaan pääse sisään esim. /home-hakemiston muiden käyttäjien kansioihin. Nyt tämä käyttäjä pitäisi "lukita" omaan kotihakemistoonsa.
- FUfQwoJM
Kotihakemistoon on vaikea lukita ketään koska silloin ei voi tehdä yhtään mitään. Esimerkiksi tiedostolistausta varten tarvitaan oikeus /bin hakemiston ls komentoon.
Jakeluissa taitaa olla vakiona rajoitettu rbash komentotulkki. En ole koskaan kokeillut miten se toimii.
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Sanna Marin teki sen, mihin muut eivät pystyneet - sote kerralla maaliin
Yli 15 vuotta Suomessa vatvottu sote-uudistus meni lopulta läpi Sanna Marinin hallituksen aikana. Edeltävät hallitukset8410511Pikkupersu osoitti olevansa hieman yksinkertainen
"Heikosti älykkyystesteissä pärjänneistä lapsista tulee muita todennäköisemmin ennakkoluuloisia ja konservatiivisia", uu1418784Marinin hallitus hyväksyi soten (105-77) vuonna 2021
vastaan äänesti Kok, persut, KD, Liike Nyt. Nyt on sitten käynyt niin kuin on käynyt. Pääkirjoitus: Sanna Marin jätti906067Jos on heikkolahjainen ja laiska koulupudokas, niin silloin äänestää vasemmistopuolueita
näin tämä on käytännössä aina mennyt. Jos ei älyä ole paljon suotu, niin ei silloin inssiksi opiskella, vaan päädytään604278Enää viisi yötä Sannan kirjaan
Ihan täpinöissään tässä odotellaan. Vaikea pysytellä aloillaan, kun koko ajan tekisi mieli jo kirjakauppaan rynnätä, mut534227Kannattaako suomalaisen duunarin enää äänestää vasemmistopuolueita
sillä eivät ne tunnu kovasti ajavan suomi-duunarin etuja. Jos katsotaan Vasemmistoliittoa, niin sehän on ihan feministi804070Sanna-kulttilaiset hehkuttaa edelleen Marinia, vaikka esim. Sote oli susi jo syntyessään
mutta kulttilaiset eivät ole järjen jättiläisiä, ja sanoihin Lasse Lehtinenkin, että Suomessa on pohjoismaiden tyhmimmät503719Professori: Maahanmuuttajien rikollisuutta hyssytellään - hävytöntä
Kriminologi Jukka Savolaisen mukaan ikä ja vaikeat olosuhteet eivät riitä selitykseksi. – Tutkitun tiedon valossa sanoi673179Marin teki sen mihin muut eivät pystyneet, vei susi-Soten maaliin
ja sitten hävittyjen vaalien jälkeen lähtikin vastuuta pakoon...... "Professori: sote-uudistus on täysi susi. Sosiaali73117IL - 100 000 potentiaalista sotilasta pakeni Ukrainasta!
"Ukrainasta nuorten miesten joukkopako Liki 100 000 asevelvollisuusikäistä miestä on poistunut Ukrainasta parin viime k672955