Hallo Waldemar, hallo Liste,
AFAIK ist dies leider mit SFTP zur Zeit nicht möglich.
Kennt jemand eine Alternative zu ProFTPd? Also einen ftp-server, der SSH-fähig ist und die Passwörter nicht mehr plain-text sendet/empfängt und trotzdem Nettigkeiten wie VirtualHosts etc. unterstützt! Ich habe mal gesucht, bin aber nicht fündig geworden.
Welche SFTP-Clients setzt du ein? Welche Erfahrungen konntest du damit sammeln?
Ich benutze Windoof-seitig CuteFTP Pro 2.0 und Mac-seitig Netfinder! Über netfinder kann ich nichts sagen (bin kein Mac-User). CuteFTP ist ein toller ftp-client! Drag'n Drop zur Perfektion! Bezüglich Sicherheit kennt er folgende Übertragungsmodi: FTP (standard File Transfer Protocol) :21 FTP with SSL (Implicit encryption) :990 FTP with SSL (Explicit encryption) :21 SFTP using SSH2 (Secure Shell) :22 HTTP (HyperText...) :80 HTTPS (Secure HTTP access) :443 SFTP habe ich getestet und funzt bestens!
Die Intention deines Vorhabens ist mir noch nicht ganz klar, oder sind die User gechrootet?
Ja, die User werden gechrootet! Erhöht die Sicherheit. Ich will ja nicht, dass die Leute z.B. /etc auskundschaften. vhost1: IP xxx.xxx.xxx.1 /home/user gechrooted auf / vhost2: IP xxx.xxx.xxx.2 /www/website/public_html/ gechrootet auf / vhost3: IP xxx.xxx.xxx.3 /www/website2/public_html/ gechrootet auf / Der Witz daran ist, dass user 1 sich mit seinem usernamen/passwd and vhost1 anmeldet und in seinem home landet. Meldet er sich an vhost2 an, ist er im Projektordner seiner Gruppe. Auf vhost3 kann er sich nicht anmelden, da er nicht zur entsprechden Gruppe gehört! Also eine gewisse Benutzerfreundlichkeit für die user, sich nicht mehrere accounts zu merken (oder gar aufzuschreiben! :-o). :-) Die Zuordnung im ProFTPd erreiche ich mit: DenyGroup !gruppe1 Ist der Benutzer in gruppe1 kann er sich anmelden, sonst nicht! Gruss Michael
Hallo Michael,
From the keyboard of Michael, Ja, die User werden gechrootet! Erhöht die Sicherheit. Ich will ja nicht, dass die Leute z.B. /etc auskundschaften. vhost1: IP xxx.xxx.xxx.1 /home/user gechrooted auf / vhost2: IP xxx.xxx.xxx.2 /www/website/public_html/ gechrootet auf / vhost3: IP xxx.xxx.xxx.3 /www/website2/public_html/ gechrootet auf /
Der Witz daran ist, dass user 1 sich mit seinem usernamen/passwd and vhost1 anmeldet und in seinem home landet. Meldet er sich an vhost2 an, ist er im Projektordner seiner Gruppe. Auf vhost3 kann er sich nicht anmelden, da er nicht zur entsprechden Gruppe gehört! Also eine gewisse Benutzerfreundlichkeit für die user, sich nicht mehrere accounts zu merken (oder gar aufzuschreiben! :-o). :-) Die Zuordnung im ProFTPd erreiche ich mit: DenyGroup !gruppe1 Ist der Benutzer in gruppe1 kann er sich anmelden, sonst nicht!
Gechrootet werden die User aber nur bei Proftpd/FTP und nicht bei SSH/SFTP oder? Hast du schon mal die OpenSSH-ML-Archive durchsucht? Oder ne Mail in die ML gepostet? bye Waldemar -- Are your questions smart enough? http://www.tuxedo.org/~esr/faqs/smart-questions.html
Hallo Liste, lieber Waldermar,
Gechrootet werden die User aber nur bei Proftpd/FTP und nicht bei SSH/SFTP oder?
Dem ist so! Aber den Zugan von "aussen" benötigen eigentlich nur ich als Sysop und der WebPublisher und der hat Ahnung von dem was er tut, so dass er den Server nicht ins Nirvana schiessen wird. Und dass er die conf-Files sieht, stört mich eigentlich nicht. Alle anderen benötigen die Sache über SSH nicht. Aber es wäre eben natürlich schön, wenn es einen SSH-ftp-server gäbe, der das chroot und die vhost eben auch unterstützt!
Hast du schon mal die OpenSSH-ML-Archive durchsucht? Oder ne Mail in die ML gepostet?
Nö, bisher noch nicht. Zur Zeit bin ich eben mit dem Linux so "zugemüllt" (morgen ist Serverumschaltung, mein System geht also online", dass dafür keine Zeit mehr war. Immerhin habe ich die Zeit gefunden, in die suse-linux-ML zu posten! :-) Gruss Michael
Am Donnerstag, 20. Dezember 2001 15:31 schrieb Michael Rolli:
natürlich schön, wenn es einen SSH-ftp-server gäbe, der das chroot und die vhost eben auch unterstützt!
hmm, ich verstehe das mit sftp und so weiter nicht 100%, wollte nur eben darauf hinweisen, daß es für ProFTPD eine Möglichkeit via SSH gibt. cu stonki -- www.stonki.de EFNET: #proftpd
Hallo Liste, lieber Stonki
hmm, ich verstehe das mit sftp und so weiter nicht 100%, wollte nur eben darauf hinweisen, daß es für ProFTPD eine Möglichkeit via SSH gibt.
Danke für den Hinweis. Dieses Mini-Howto "ftp over ssh" (http://rad.geology.washington.edu/~tj/proftpd/) kenne ich. Wird wohl in der Praxis schon klappen, aber... Meine User kommen von win und mac auf den Linux-Server. Um die Schritte des Howtos auszuführen, muss der Client mit port-forwarding-Regeln ausgestattet werden und das kann ich "meinen" usern nicht zumuten. Also müsste ich es bei jedem einrichten gehen. Ich habe aber keine Lust, bei jedem zuhause diese Portforwarding-Regeln einzurichten. Vielleicht gäbe es auch eine Möglichkeit, das ganze server-seitig zu lösen, aber davon habe ich ehrlich gesagt auch nicht allzu grosse Ahnung. :-) Grüsse Michael
participants (3)
-
Michael Rolli
-
Stefan Onken
-
Waldemar Brodkorb