Как стать автором
Обновить

Комментарии 18

Очень хороший пост, спасибо. Можно я дополню: для ограничения пользователя до scp, sftp, rdist, rsync, cvs можно воспользоватся rssh. Им заменяется /bin/false в конфигурации, а сам доступ управляется параметрами allowscp, allowsftp, allowcvs, allowrdist, allowrsync в /etc/rssh.conf
Пост хороший!
Я тоже мечтаю отказаться от FTP, но вот беда — SFTP неудобен виндовым пользователям :( FTP работает прям из проводника, а вот с SFTP засада. Что бы вы посоветовали обычным пользователям. Обычным — это значит ленивым, которым неохота разбираться со всякими путтями :-) Есть в винде какие-нибудь хорошие штатные или околоштатные средства?
WinSCP
Filezilla — кстати я её упомянул в статье.
Всё OpenSource.
+1 за WinSCP

на своих серверах и VDS вообще вырубил FTP, чтобы трояны не записывали всякую фигню (были случаи)

сам WinSCP напоминает Total Commander, так что все должно быть привычно ;-)
Это всё хорошо, но нашему дизайнеру очень хотелось получить доступ к удалённым файлам из фотошопа…
Я перерыл всё, что можно было накопать по этой теме и ничего реально удобного не нашёл, к сожалению. Что-то глючило, что-то вообще не работало, что-то тормозило безбожно, в что-то плюс ко всему ещё и денег стоило… Плохо всё на этом поприще.
Ещё пробовал NFS… Но там сразу образовались траблы с кодировками, которые было не решить — винда упорно не хотела понимать utf-8.
Побуду чуток некрофилом, но статья хорошо заиндекстирована, так что если вдруг кому понадобится для этого есть www.netdrive.net/ — позволяет SFTP держать как обычный диск.
Far Manager еще
вот только вопрос — давно ли вы видели ленивых виндовых пользователей, который из проводника лезут куда-то на FTP?
FastSCP как вариант
Для FTP есть FTPS — FTP с использованием TLS.
Есть, но наверное проще чуть чуть поковырять OpenSSH, чем устанавливать дополнительное ПО.

А вообще, я забыл упомянуть в статье, что теперь, когда я отказался от FTP у меня стало на 2 порта меньше (20,21) — куда перестали ломиться боты.
— Вы, конечно, можете сказать — Что боты ломяться на 22, но на хабре уже были статьи как защитить 22 порт.

Вот: Защищаем SSH от брутфорса на любом порту
хотел спросить по теме. недавно прикупил себе впс. установил убунту на него. обновился. поставил ссх апач и прочее, поставил свой именной сайт и т.п.
вопрос в том что когда через зенд коннектишься по ссх, то папки очень долго открываются, ощущение что каждый раз авторизация занова происходит
Думаю, что можно попробовать в /etc/ssh/sshd_config найти/прописать опцию UseDNS no (по умолчанию yes)
/etc/ssh/sshd_config line 80: Directive 'UseDNS' is not allowed within a Match block
Вы допустили ошибку, поднимите UseDNS no выше блока Match.

Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes
UseDNS no <---Выше блока Match
Match user root
Что-то менять владельца home-папки на root как-то не очень комильфо, как же ему потом разрешить создавать там папки и т.п.? Если только под каждого юзера делать свою группу и права давать через запись в группу. Плюс ещё может какие проблемы потом вылезут…
Кстати, можно наверно указать папку /home как корневую, к файлам /etc/passwd и т.п. тогда не доберутся юзеры, а в home-папки других юзеров тоже не пролезут — прав нету. Единственный минус — увидят список юзеров на серваке по названиям папок в /home.
Ну и, теоретически, смогут выцепить какие-нибудь вкусные файлы других юзеров, которым те юзеры сгоряча проставят права чтения для other.
Автор не затронул тему с авторизацией по ключам, которая мало того, что позволит вообще не трогать конфиги sshd, но и даст возможность пользователям с разными ключами ходить под одним UIDом.
А для этого всего-то нужно добавить пользователю в файл /home/username/.ssh/authorized_keys такую строчку
command="/usr/libexec/sftp-server",no-port-forwarding ssh-rsa AAAA<здесь открытый ключ>== user@host
Тоже использую sftp, но по-умолчанию скорость по sftp мала, особенно для больших файлов. Например, когда качаешь со своего компьютера фильмы по локальной сети своего провайдера скорость неприлична низка.
Я меняю всегда алгоритм шифрования на blowfish-cbc как более быстрый.
Вообщем, рекомендую…

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.