web-dev-qa-db-ja.com

SFTPサーバー:SSH内部sftpサブシステムまたはProFTPDプラグインを使用する方が良いですか?

新しいSFTPサーバーをインストールする必要があります。それ自体、これは非常に単純な操作です。単にinternal-sftpユビキタスSSHサービス(chrootを使用)の役割は、信頼できるSFTPサーバーを用意するのに十分です。

ただし、同じ問題に対して常に少なくとも2つの異なるアプローチを試すことは私の本質であり、sftpプラグインでProFTPDを使用して同じことを実行できることに気づきました。さらに詳細なファイル転送関連の利点がありますオプション(例:帯域幅調整)。一方、このプラグインはデフォルトではコンパイル(およびバンドル)されていないため、(おそらく)「テストが少ない」ソリューションは避けたいと思います。

現在、必要なサービスはSFTPのみです。ただし、事前にプレイしているため、SFTPだけでなくFTP/Sでも機能するソリューションを実装したいと考えています。

私はユーザーを自宅にchrootするつもりであることを考えると、より良い解決策は何だと思いますか?

  1. sSHを使用するinternal-sftpおよびスタンドアロンFTPサーバー(vsftpdまたはproftpd)(FTP/Sサービス用)
  2. 関連するプラグインでのみProFTPDサービスを使用する
11
shodanshok

SSHのsftpサーバーには、chrootディレクトリに関するいくつかの追加要件があります。一部の環境では、ユーザーがchroot dirへの書き込みアクセス権を持てないため、これが問題になる可能性があります。

Ftp/ftpsも必要な場合は、mod_sftpを試すことをお勧めします。ほぼ20の問題(sftpが最も使用されていないプロトコル)で、10,000個を超えるアカウントを持つ約20台のサーバーで本番環境で使用しています。欠点は、パスワード認証方式をサポートしていない可能性がありますが、rsaキーとキーボードインタラクティブをサポートしているため、非常に古いクライアントでのみ問題になります。

4
Lazy404

これは古いスレッドですが、将来の読者のために、何年も何の問題もなくmod_sftpでproftpdを使用するようにサーバーを構成してきたことを付け加えておきます。サービスを分離することで、セキュリティ、サービス自体、およびユーザー管理をきめ細かく制御できることを非常に気に入っています。

Sftp_pamモジュールも含める場合は、mod_sftpでパスワードまたはキーのいずれかまたは両方をサポートするようにproftpdを構成できます。両方を有効にする設定の例を次に示します。

# Include all available modules
Include /etc/proftpd/modules.conf

<Global>
  <IfModule mod_sftp.c>
    <IfModule mod_sftp_pam.c>
      SFTPPAMEngine on
      SFTPPAMServiceName sftp
    </IfModule>

    SFTPEngine on
    SFTPLog /var/log/proftpd/sftp.log

    # Configure both the Host keys
    SFTPHostKey /etc/ssh/ssh_Host_rsa_key
    SFTPHostKey /etc/ssh/ssh_Host_dsa_key

    SFTPAuthMethods publickey password keyboard-interactive
    SFTPAuthorizedUserKeys file:/etc/proftpd/authorized_keys/%u

    # Enable compression
    SFTPCompression delayed
  </IfModule>
</Global>
3