pureftp přes ssl

Miroslav Lachman 000.fbsd at quip.cz
Wed Apr 19 11:18:07 CEST 2006


Dan Lukes wrote:

> 	Hm, a vis vubec proc ten zakaznik chce takovou podivnou vec a nechce 
> pouzit nejaky nativne sifrovany prenosovy protokol ? Treba sftp ...
> 
  > 	Nemam dojem, ze by FTP v jakemkoliv standardu v sobe melo zahrnuto
> podporu sifrovani na aplikacni vrstve a pri jeho umelem zahaneni do SSL 
> tunelu povazuji za prakticky vyloucene, ze by chodily aktivni prenosy - 
> a i u tech pasivnich nevidim zadnou jednoduchou a rozumnou cestu jak 
> dosahnout dobreho vysledku ...
> 
> 	Cimz neni vylouceno, ze mi neco uniklo.

AFAIK v RFC existuje definice sifrovaneho FTP - RFC 4217. Bezne na 
vetsine serverech pouzivam sifrovane FTP. Nekde jako jedinou moznost, 
nekde je to volitelna moznost, kterou si vybere klient (tim myslim FTP 
klienta, ne zakaznika).
Zkusenosti mam s BSD-FTPd http://bsdftpd-ssl.sc.ru/ a s ProFTPd 
http://www.proftpd.org/

Velmi zajimavy dokument je napriklad tento:
http://www.ford-hutchinson.com/~fh-1-pfh/ftps-ext.html

Samozrejme existuje spousta pro a proti jak v pripade SFTP / SCP, tak i 
FTPS. U me ve vetsine pripadu vitezi FTPS. Uzivatele si to sice musi 
jednou "slozite" nakonfigurovat, ale zase mohou zustat u sveho 
oblibeneho FTP klienta, nemusi si zvykat na WinSCP. (FTPS se da pouzivat 
pres TLSwrap i s klienty, kteri nepodporuji FTPS). Dalsim argumentem pro 
me je to, ze mam vsechny uzivatele v jedne databazi (u ProFTPd pouzivam 
ucty v MySQL) a konfiguruji jen jednoho daemona, mohu pouzivat stavajici 
rozhrani pro spravu uctu atd.. Ucty nemusi mit shell account. Tohle sice 
castecne resi scponly, ale nemam ho prilis v lasce a v nedavne minulosti 
v nem byly i nejake chyby, kdy nefungoval chroot tak jak by mel.

Samozrejme tim nikomu nic nevnucuji a ani nerikam, ze FTPS je lepsi, nez 
SFTP. Na jednom serveru mam scponly, ale to je server, kde je jen par 
uctu primo v systemu. Tam, kde se predpoklada "masove" uziti radeji 
pouzivam FTP s rozsirenim na FTPS.

Miroslav Lachman



More information about the Users-l mailing list