Как сделать sftp сервер
SSH FTP (SFTP) instead/вместо FTP
Недавно передо мной предстала задача организовать доступ к файлам сервера. Точнее доступ был, но по каким-то причинам FTP сервер перестал работать. Разбираться в причинах было лень, и тем более, давно хотелось заменить протокол FTP чем нибудь по надёжнее.
Вам, Уважаемое хабрасообщество, да будет известно, что FTP передаёт данные в не шифрованном виде. И нам, параноикам мира сего, немного сцыкотно страшно за сервер наш и данные на нём хранящиеся.
По этому решил полностью отказаться от FTP в пользу SFTP. Я использую Ubuntu Server, и по умолчанию установленный в нём OpenSSH, также мне известно, что он поддерживает SFTP из коробки, поэтому задача казалась мне крайне простой и я быстро приступил к воплощению её в жизнь. С той же скоростью, с которой выполнялась задача, я столкнулся с досадным фактом того, что OpenSSH по умолчанию даёт пользователю доступ ко всей файловой системе, то есть к / — корню.
Данный факт меня, и я думаю Вас, устраивать не будет. То есть с одной стороны, вроде бы ничего страшного, ведь есть права доступа которые не дадут ему, пользователю, просто так писать где ни попади. Но в целях безопасности и этого пряника у него быть не должно.
Тут я подробно расскажу как тюнинговать OpenSSH сервер в Ubuntu Linux для того что бы chroot-нуть пользователя в необходимом нам каталоге.
Почему я говорю тюниговать?
— Да просто по тому, что, как я уже сказал, для работы SFTP достаточно всего лишь выполнить:
sudo aptitude install openssh-server
Что приведёт к установке и запуску сервера, а также откроет, по умолчанию, 22 порт. Осуществив соединение на который, при помощи, например 
Filezilla, можно получить доступ к файловой системе удалённого компьютера/сервера по ШИФРОВАННОМУ протоколу.
Но как я уже намекнул, настройки «по умолчанию» нас не устраивают.
Поэтому открываем файл настройки OpenSSH сервера sudo mcedit 1 /etc/ssh/sshd_config и кое-что там изменяем/добавляем.
Находим опцию Subsystem и придаём ей следующий вид:
Subsystem sftp internal-sftp
Плюс добавляем следующие опции:
Match User test
ChrootDirectory %h
ForceCommand internal-sftp
Теперь перезапускаем OpenSSH sudo service ssh restart и вроде бы готово.
Game Over?
Как Вы наверное уже догадались, право входа в систему по протоколу SFTP будут иметь пользователи которые имеют системные 2 учётные записи. Поэтому необходимо создать учётную запись, под которой будут осуществляться манипуляции с файлами. Поскольку выше было написано Match User test создавать необходимо учётную запись пользователя test.
Всё дело в том, что для каталога /home/test необходимо назначить владельцем пользователя root, что мы и делаем:
sudo chown root /home/test
Подключается и наблюдаем в логах:
timestamp host sshd[2630]: Accepted password for test from IP_адрес port 50152 ssh2
timestamp host sshd[2630]: pam_unix(sshd:session): session opened for user test by (uid=0)
timestamp host sshd[2669]: subsystem request for sftp
Mission complete
Подробности
В настройках OpenSSH мы описывали опцию Match User test, что само собой означает доступ отдельного, конкретного пользователя!
— А если таковых много?
Описание каждого пользователя — как минимум не кошерно… Короче, я хочу рассказать про то, что можно задействовать группы пользователей используя Match Group.
И тогда конфиг может выглядеть приблизительно так:
Match Group sites
ChrootDirectory /srv/www%h
ForceCommand internal-sftp
А учётные записи пользователей в /etc/passwd так:
site1:x:5000:1000 3 ::/example.com/:/bin/false
site2:x:5001:1000::/example.org/:/bin/false
site3:x:5002:1000::/example.net/:/bin/false
Как видно из примера, у пользователей относительный домашний каталог, то есть в корне / нет каталогов /example.com/ и т.д.
Эти каталоги есть в /srv/www/ и OpenSSH должен отработать следующим образом:
— Домашний каталог пользователя, из /etc/passwd добавить к /srv/www и в итоге получить /srv/www/example.com и т.д.
Не забываем, что владельцем каталога в который будут chroot-иться пользователи должен быть root. Группой владельцев, необходимо поставить sites и разрешить полный доступ.
Также рекомендуется в качестве shell-а пользователя ставить /bin/false, что бы предотвратить доступ пользователя к командной строке.
Mission Complete & Game Over
19 лучших бесплатных серверов SFTP и FTPS для Windows и Linux
протокол передачи файлов (FTP) является одним из оригинальных интернет-протоколов, используемых для передачи больших файлов. FTP с дополнительной защитой, такой как в SFTP и FTPS, по-прежнему остается одним из лучших инструментов для передачи файлов. Но чтобы его использовать, вам нужно настроить SFTP-сервер..
Ниже мы рассмотрим каждый из 19 лучших инструментов, но если вам не хватает времени, вот наши Список 10 лучших бесплатных серверов SFTP и FTPS:
В чем разница: FTP против FTPS против SFTP против SCP
Все эти термины меняются на одну букву, но эта буква важна.
Протокол передачи файлов (FTP)
Исходный протокол и его основное ограничение заключается в том, что он отправляет логины и данные в незашифрованном виде. Информация для входа в систему, а также сам файл отправляются «открытым текстом» в виде простого текста, который может видеть наблюдатель..
Безопасный протокол передачи файлов (FTPS)
(также известен как FTPES): Это безопасный FTP, где S, в данном случае, представляет Безопасность транспортного уровня (TLS) шифрование. По сути, это базовый FTP-сервер, который знает, как согласовать зашифрованный туннель TLS для передачи данных через.
Протокол безопасной передачи файлов (SFTP)
Это также безопасный FTP, но в этом случае S представляет Безопасная оболочка (SSH). Это на самом деле не FTP-сервер. Скорее, это сервер SSH, который понимает команды FTP. Регистрационная информация и файлы передаются в зашифрованном виде через SSH. Чтобы сделать вещи еще более запутанными, первоначальная цель аббревиатуры SFTP была простой протокол передачи файлов, определенный в RFC 913, но был переведен в статус «Исторический» и больше не используется.
Безопасное копирование (SCP)
Клиент или Сервер?
Смущает то, что утилита с графическим интерфейсом, которая реализует протокол передачи файлов SSH, называется SFTP-клиент хотя это также может быть SFTP сервер. Обозначение SFTP-клиента означает, что эта часть программного обеспечения инициирует соединения. Он также называется сервером, потому что обычно он является частью файлового сервера, на котором хранятся конфигурации резервного копирования..
SCP против SFTP: Соображения
В качестве обе системы требуют аутентификации пользователя, существует риск, если вы поместите любое из них в пакетное задание, потому что вам нужно будет указать имя пользователя и пароль при вызове команды. Однако вы можете ограничить вероятность того, что любой пользователь, обнаруживший учетную запись пользователя в удаленной системе, создаст учетную запись пользователя с ограниченным доступом для этого компьютера, что предотвратит доступ любого пользователя, имеющего доступ к этой учетной записи, в любой другой каталог, кроме домашнего каталога учетной записи. Однако эта стратегия сведет на нет многие функции, которые обеспечивают SFTP своими преимуществами..
безопасный перевод на удаленный хост несет меньший риск, если это выполняется с SCP потому что в этот протокол не включен командный язык. SFTP больше подходит для использования системным администратором при выполнении интерактивных ручных задач и переноса на удаленный компьютер.
Смотрите также: Лучшие бесплатные серверы SCP и лучшие бесплатные серверы TFTP
Полнофункциональные бесплатные SFTP и FTPS серверы:
1. SFW / SCP-сервер SolarWinds (БЕСПЛАТНЫЙ ИНСТРУМЕНТ)
Загрузочный сервер SolarWinds SFTP / SCP представляет собой ZIP-файл, который извлекается в установщик MSI. После завершения установки его настройка так же проста, как запуск программы и указание нескольких параметров в пользовательском интерфейсе, таких как разрешенные протоколы и допустимые параметры передачи..
Существует также встроенный сервер SCP, который имеет смысл, поскольку и SFTP, и SCP используют SSH для выполнения своих задач. Вы можете настроить SFTP-сервер SolarWinds так, чтобы он также разрешал SCP, выбрав «Оба» протокола.
На вкладке «Пользователи» можно создавать учетные записи пользователей и указывать такие сведения, как используемый сетевой интерфейс..
Установка проста, и SolarWinds поддерживает как SFTP, так и SCP. Благодаря поддержке одновременной передачи и возможности авторизации только определенных IP-адресов, он предлагает мощные функции бесплатно.
ВЫБОР РЕДАКТОРА
Установка проста, и SolarWinds поддерживает как SFTP, так и SCP. Благодаря поддержке одновременной передачи и возможности авторизации только определенных IP-адресов, он предлагает мощные функции бесплатно.
Скачать: БЕСПЛАТНО скачать на SolarWinds.com
Официальный сайт: www.solarwinds.com/free-tools/free-sftp-server/
ОПЕРАЦИОННЫЕ СИСТЕМЫ: Windows
2. FileZilla FTPS
3. Сервер IIS FTPS
Часто пропускаемый FTPS-сервер доступен прямо в Windows Server. Если вы уже используете Internet Information Services (IIS), вы можете добавить роль FTP-сервера, затем создать сертификаты TLS и получить полнофункциональный FTPS-сервер, работающий рядом с вашим IIS-сервером..
4. FreeFTP
Основанный на FreeSSH, FreeFTP является полнофункциональным SFTP-сервером для Windows. Он поддерживает все разновидности FTP, включая SFTP и FTPS. Как следует из названия, он бесплатный и поддерживает создание произвольных пользователей, что делает его идеальным для быстрой настройки SFTP в сети Windows..
Во время установки вы можете выбрать запуск FreeSFTP по мере необходимости или установить его как системную службу. Последнее означает, что он будет работать все время и будет доступен для ваших пользователей SFTP.
5. Syncplify.me SFTP-сервер
Бесплатная пробная версия имеет все функции Ultimate, но она поддерживает только одно соединение и не лицензирована для использования в производстве. Другие преимущества обновления до платной версии сервера SFTP включают соображения безопасности. Вы можете использовать шифрование с открытым ключом RSA с бесплатной версией, но платная версия инструмента включает в себя множество других вариантов аутентификации и шифрования..
6. Rebex Tiny SFTP-сервер
SFTP-сервер Rebex Tiny является бесплатным для любого использования, включая коммерческое использование. Он работает на Windows XP до Windows 7, а также поддерживает выпуски Windows Server 2002, 2008 и 2012. Это ограничено одним пользователем, но поставляется с множеством функций. Он не требует настройки и содержит полные возможности ведения журнала, а также поддержку входа с открытым / закрытым ключом вместо паролей..
7. CrushFTP
CrushFTP также имеет некоторые встроенные меры безопасности, включая процедуры аутентификации пользователей, которые обращаются к Active Directory на вашем хосте. Он может защищать от атак методом «грубой силы» путем автоматического запрета атакующих IP-адресов, а надежное управление пользователями включает виртуальные файловые системы и наследование разрешений. Сервер CrushFTP имеет 30-дневную пробную версию, и клиент всегда свободен.
8. Cornerstone MFT сервер
Cornerstone предлагает PGP-шифрованное удаленное хранилище файлов. Данные могут быть зашифрованы на лету, поэтому никогда не будет точки, где незашифрованные данные ожидают на диске для шифрования. Кроме того, Cornerstone предоставляет механизмы защиты периметра, такие как двухфакторная аутентификация..
Вы можете попробовать Cornerstong MFT с 30-дневной пробной версией, чтобы убедиться, что она соответствует вашим потребностям..
9. SFTP-сервер Globalscape
Globalscape придумал фразу «Усовершенствованная передача файлов» (EFT) для обозначения своего продукта «Управляемая передача файлов» (MFT)..
EFT-сервер Globalscape может быть развернут в конфигурации высокой доступности (HA), включая балансировку нагрузки и конфигурации кластера. Кроме того, Globalscape предлагает как локальные, так и облачные продукты, так что вы можете выбрать лучшее решение EFT для вашей ситуации..
Существует 30-дневная бесплатная пробная версия для предприятий и малого и среднего бизнеса. Хотя есть и бесплатная пробная версия для облачной версии, не ясно, как долго.
10. Титан FTP сервер
FTP-сервер Titan поддерживает обычный FTP, а также FTPS и SFTP. Он соответствует требованиям HIPAA, что делает его идеальным для использования в больницах и государственных учреждениях по всему миру. Он работает на Windows Server 2008 и Windows Server 2012.
В дополнение к простому предоставлению услуг передачи файлов, FTP-сервер Titan объединяет некоторые меры безопасности, которые могут защитить от попыток перебора, и полные возможности аудита, чтобы системные администраторы знали, что происходит на их серверах..
Управление учетными записями может быть привязано к проверке подлинности Windows NT / SAM в версии Enterprise, и в него включено подробное управление учетными записями, например автоматическое истечение срока действия учетной записи..
Titan предлагает 20-дневную пробную версию своего FTP-сервера.
Автономные бесплатные серверы SFTP и FTPS (установка не требуется)
11. Syncplify.me Micro SFTP-сервер
В дополнение к бесплатной пробной версии Syncplify также предлагает сервер Micro SFTP для Windows. Это полностью автономный портативный SFTP-сервер, который можно запустить с USB-накопителя. В отличие от бесплатной ознакомительной версии полноценного SFTP-сервера Syncplify, версия Micro-сервера полностью бесплатна для использования в любых ситуациях, включая производственное и коммерческое использование. Вам нужно будет перейти на платную услугу, если вы хотите удаленный доступ к каталогу файлов через SSH.
12. Xlight FTP сервер
Бесплатный FTP-сервер Xlight поставляется в различных версиях, включая портативную автономную версию, которая не требует установки. 32-разрядные и 64-разрядные версии будут работать на Windows 2000, XP, Vista, 7, 10, 2003 Server, 2008 Server и 2012 Server. Этот инструмент может получить доступ к вашей реализации Active Directory для проверки подлинности пользователя. Он даже имеет файлы локализации, которые позволят вашему защищенному FTP-серверу отображать текст на разных языках, или вы можете написать свой собственный языковой файл, если нужный вам язык еще не доступен.
13. Core Mini SFTP-сервер
Лучшие бесплатные SFTP и FTPS серверы для Linux
Использование OpenSSH
Предполагая, что эти ограничения отсутствуют, любой SFTP-клиент, который может подключиться к порту 22 на SFTP-сервере, должен работать хорошо.
$ sftp [email protected]
[email protected] пароль:
Подключен к 172.81.178.34.
SFTP> PWD
Удаленный рабочий каталог: / home / test-sftp
SFTP>
14. MySecureShell
Недостатком простоты настройки SFTP в большинстве дистрибутивов Linux является то, что SSH просто готов к работе. Это подразумевает уровень доверия к вашим пользователям, который может не соответствовать реальности. Если у вас есть недоверенные или неизвестные пользователи SFTP, вы можете наложить ограничения на то, что они могут делать в системе. Есть много способов добиться этого, например, только запускать механизм SFTP, который запрещает регулярные входы в систему SSH, или вы можете использовать приложение, такое как MySecureShell, для выполнения тяжелой работы..
MySecureShell поддерживает списки контроля доступа, которые являются основой детального контроля доступа пользователей. Он включен во многие репозитории дистрибутивов, поэтому вы можете просто использовать менеджер пакетов для его установки:
После установки могут потребоваться некоторые базовые изменения в файле конфигурации приложения в / etc / ssh / sftp_config, и тогда вы будете в рабочем состоянии..
15. vsftp
Многие из наиболее известных дистрибутивов Linux используют vsftp в качестве FTP-сервера, что говорит о его безопасности и стабильности. Часть этой родословной может происходить из-за того, что сопровождающий приложения, Крис Эванс, сам имеет опыт обнаружения уязвимостей в безопасности..
Vsftp входит в большинство дистрибутивов Linux и может быть установлен через менеджер пакетов.
Как и для большинства инструментов Linux, для настройки некоторых основных параметров конфигурации необходим быстрый просмотр файла /etc/vsftp.conf, и тогда ваш сервер vsftp готов к работе.
16. ProFTPd настроен на использование SFTP
ProFTP был создан с нуля из-за необходимости вытеснять wu-ftp как широко используемый FTP-сервер. Wu-ftp стал громоздким из-за многолетних модификаций, сделанных необходимыми из-за ненадежности в приложении, и в конечном итоге стало более продуктивным просто создать новый клиент FTP с нуля.
ProFTP вдохновлен несколько после веб-сервера Apache. В основном это можно увидеть в формате файлов конфигурации и в том, что он использует модули для загрузки необходимой функциональности. В этом случае вы захотите использовать ProFTP с загруженным модулем mod_sftp для достижения функциональности SFTP..
Веб-сайт ProFTP предоставляет несколько примеров конфигураций, чтобы вы могли начать работу в правильном направлении..
FTP остается очень важной частью интернет-инструментария, несмотря на то, что ему по сути не хватает безопасности. Как и в протоколе HTTP протокол TLS был прикреплен к нему для обеспечения безопасности, чтобы сформировать то, что мы теперь называем HTTPS, в FTP были объединены и TLS, и SSH, чтобы обеспечить шифрование и безопасность. Есть несколько других инструментов, которые так легко позволяют передавать файлы произвольно большого размера. Многие организации будут продолжать использовать SFTP или FTPS в течение длительного времени.
17. PureFTPD
Лучшие бесплатные SFTP и FTPS серверы для Windows
18. Paessler FTP Мониторинг с PRTG (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)
Одна проблема со стандартным FTP и его безопасными производными состоит в том, что они не предоставляют много данных для анализа. Большинство стандартных программ FTP доступны в операционной системе бесплатно, но могут быть улучшены с помощью пакета мониторинга. Например, Paessler PRTG это общесистемный пакет мониторинга, который состоит из «датчиков», которые являются отдельными мониторами. Вы настраиваете услугу, выбирая, какие датчики включить.
PRTG включает в себя датчики для FTP, SFTP и FTPS. Они обеспечивают безопасный контроль файловых серверов, предоставляя данные о производительности для удаленных серверов, а также тех, которые работают на том же сервере, на котором размещено программное обеспечение PRTG. PRTG работает на Windows Server. Однако датчики FTP могут контролировать FTP-серверы на серверах Linux. Когда датчик подключается к другому серверу, особенно когда этот сервер находится на другом сайте, он использует SSL или SSH для защиты соединений от перехватчиков.
Датчики собирают время отклика, сообщения сервера и текущее количество файлов для каждого сеанса FTP. Эта информация появляется на панели инструментов PRTG, поэтому администраторам, использующим PRTG для мониторинга системы, не нужно переключаться на другое приложение для получения информации о передаче файлов. Данные о производительности могут иметь пороговые значения для запуска оповещений. С помощью этого инструмента администратор может выполнять другие задания и обращать внимание на FTP-серверы только в случае возникновения проблем..
Paessler FTP Monitoring с PRTGDownload 30-дневная бесплатная пробная версия
Лучшие бесплатные SFTP и FTPS серверы для Windows и Linux
19. VandDyke VShell
Версия для Windows может похвастаться простым в использовании графическим установщиком и может использовать различные методы аутентификации пользователей, такие как пары LDAP и открытый / закрытый ключи..
Версия Unix поддерживает виртуальные каталоги, а также детальные права доступа к файлам. Права доступа к файлам могут быть установлены для каждого пользователя или для самих виртуальных каталогов..
VShell поставляется с 30-дневной пробной версией.
Протоколы SFTP и FTPS
Буквально неделю назад я писал реферат по обозначенной в заголовке теме и столкнулся с тем, что, скажем так, познавательной информации в сети не так уж много. В основном сухие факты и инструкции по настройке. Поэтому я решил несколько подкорректировать текст и выложить его в качестве статьи.
FTP (File Transfer Protocol) – протокол передачи файлов по сети. Является одним из базовых протоколов Ethernet. Появился в 1971 году и изначально работал в сетях DARPA. На данный момент, как и HTTP, файловая передача основывается на модели, состоящей из совокупности протоколов TCP/IP (Transmission Control Protocol/Internet Protocol). Определён в RFC 959.
Протокол определяет следующее:
Взаимодействие между клиентом и сервером
Рассмотрим происходящие при работе FTP процессы подробнее. Соединение инициализируется интерпретатором протокола пользователя. Управление обменом осуществляется по каналу управления в стандарте TELNET. Команды FTP генерируются интерпретатором протокола пользователя и передаются на сервер. Ответы сервера отправляются пользователю также по каналу управления. В общем случае пользователь имеет возможность установить контакт с интерпретатором протокола сервера и отличными от интерпретатора пользователя средствами.
Основная особенность FTP в том, что он использует двойное подключение. Одно из них используется для передачи команд серверу и происходит по умолчанию через TCP-порт 21, который может быть изменён. Управляющее соединение существует все время, пока клиент общается с сервером. Канал управления должен быть открыт при передаче данных между машинами. В случае его закрытия передача данных прекращается. Через второе происходит непосредственная передача данных. Оно открывается каждый раз, когда осуществляется передача файла между клиентом и сервером. В случае, если одновременно передаётся несколько файлов, для каждого из них открывается свой канал передачи.
FTP может работать в активном или пассивном режиме, от выбора которого зависит способ установки соединения. В активном режиме клиент создаёт управляющее TCP-соединение с сервером и отправляет серверу свой IP-адрес и произвольный номер клиентского порта, после чего ждёт, пока сервер запустит TCP-соединение с этим адресом и номером порта. В случае, если клиент находится за брандмауэром и не может принять входящее TCP-соединение, может быть использован пассивный режим. В этом режиме клиент использует поток управления, чтобы послать серверу команду PASV, и затем получает от сервера его IP-адрес и номер порта, которые затем используются клиентом для открытия потока данных со своего произвольного порта.
Возможна ситуация, когда данные могут передаваться на третью машину. В этом случае пользователь организует канал управления с двумя серверами и организует прямой канал данных между ними. Команды управления идут через пользователя, а данные напрямую между серверами.
При передаче данных по сети могут быть использованы четыре представления данных:
Передача данных может осуществляться в любом из трёх режимов:
FTP server – это сервер, который предусматривает возможность использования протокола передачи файлов. Он обладает определенными особенностями, отличающими его от обычных веб-серверов:
FTP client – это программа, позволяющая подключиться к удаленному серверу по FTP и также выполнять на нем необходимые действия с элементами файловой системы. Клиентом вполне может быть браузер, в адресную строку которого следует ввести адрес, представляющий собой путь до определенного каталога или файла на удаленном сервере, в соответствии с общей блок-схемой URL:
Однако же, использование веб-обозревателя в таком разрезе позволит лишь просмотреть или скачать интересующие файлы. Для того, чтобы в полной мере задействовать все плюсы FTP, в качестве клиента следует применить специализированное программное обеспечение.
FTP-аутентификация использует схему имя пользователя/пароль для предоставления доступа. Имя пользователя посылается серверу командой USER, а пароль – командой PASS. Если предоставленная клиентом информация принята сервером, то сервер отправит клиенту приглашение и начинается сессия. Пользователи могут, если сервер поддерживает эту особенность, войти в систему без предоставления учётных данных, но сервер может предоставить только ограниченный доступ для таких сессий.
Хост, обеспечивающий FTP-сервис, может предоставить анонимный доступ к FTP. Пользователи обычно входят в систему как «anonymous» (может быть регистрозависимым на некоторых FTP-серверах) в качестве имени пользователя. Хотя обычно пользователей просят прислать адрес их электронной почты вместо пароля, никакой проверки фактически не производится. Многие FTP-хосты, предоставляющие обновления программного обеспечения, поддерживают анонимный доступ.
Схема протокола
Взаимодействие «клиент-сервер» при FTP-соединении можно наглядно представить следующим образом:
Безопасный FTP
FTP изначально не задумывался как защищенный, поскольку предназначался для связи между несколькими военными объектами и учреждениями. Но с развитием и распространением интернета опасность несанкционированного доступа возросла во много раз. Возникла необходимость защиты серверов от различного рода атак. В мае 1999 авторы RFC 2577 свели уязвимости в следующий список проблем:
Обычный FTP не обладает возможностью передачи данных в зашифрованном виде, вследствие чего имена пользователей, пароли, команды и другая информация могут при желании легко и просто быть перехвачены злоумышленниками. Обычное решение этой проблемы — использовать «безопасные», TLS-защищённые версии уязвимых протокола (FTPS) или же другой, более защищённый протокол, вроде SFTP/SCP, предоставляемого с большинством реализаций протокола Secure Shell.
FTPS (FTP + SSL) – расширение стандартного протокола передачи файлов, добавляющее в его базовый функционал создание шифрованных сессий с помощью протокола SSL (Secure Sockets Layer — уровень защищенных сокетов). На сегодняшний день защита обеспечивается его более продвинутым аналогом TLS (Transport Layer Security — защита транспортного уровня).
Протокол SSL предложен корпорацией Netscape Communications в 1996 году с целью обеспечения безопасности и секретности интернет-соединений. Протокол поддерживает аутентификацию (установление подлинности) клиента и сервера, не зависит от приложений и прозрачен для протоколов HTTP, FTP и Telnet.
Протокол SSL Handshake состоит из двух этапов: установление подлинности сервера и необязательное установление подлинности клиента. На первом этапе сервер в ответ на запрос клиента посылает свой сертификат и параметры шифрования. Затем клиент генерирует мастер-ключ, зашифровывает его открытым ключом сервера и отсылает серверу. Сервер расшифровывает мастер-ключ своим частным ключом и подтверждает свою подлинность клиенту, возвращая ему сообщение, заверенное мастером-ключом клиента.
Последующие данные шифруются и заверяются ключами, полученными на основе этого мастера-ключа. На втором этапе, который не является обязательным, сервер посылает запрос клиенту, а клиент подтверждает серверу свою подлинность, возвращая запрос с собственной цифровой подписью и сертификат открытого ключа.
SSL поддерживает разнообразные криптографические алгоритмы. В ходе установления связи используется криптосистема открытого ключа RSA. После обмена ключами используется много разных шифров: RC2, RC4, IDEA, DES и TripleDES. Также используется MD5 — алгоритм создания дайджеста сообщений. Синтаксис сертификатов открытого ключа описан в X.509.
Одним из немаловажных преимуществ SSL, является его полная программно-платформенная независимость. Протокол разработан на принципах переносимости, и идеология его построения, не зависит, от тех приложений, в составе которых он используется. Помимо этого, важно и то, что поверх протокола SSL, могут прозрачно накладываться и другие протоколы; либо для еще большего увеличения степени защиты целевых информационных потоков, либо, для адаптации криптографических способностей SSL под какую-нибудь другую, вполне определенную задачу.
SSL-подключение
Предоставляемый SSL безопасный канал обладает тремя основными свойствами:
Особенности FTPS
Существуют две реализации FTPS, использующие различные методы предоставления безопасности:
SFTP (Secure File Transfer Protocol) – протокол прикладного уровня передачи файлов, работающий поверх безопасного канала. Не следует путать с (Simple File Transfer Protocol), имеющим такую же аббревиатуру. Если FTPS является просто расширением FTP, то SFTP это отдельный и никак не связанный с ним протокол, который в качестве основы использует SSH (Secure Shell – безопасная оболочка).
Secure Shell
Разработкой протокола занималась одна из групп IETF под названием Secsh. Рабочая документация к новому протоколу SFTP не стала официальным стандартом, однако начала активно применяться для разработки приложений. В дальнейшем было выпущено шесть версий протокола. Однако, постепенное наращивание в нём функциональности привело к тому, что 14 августа 2006 года было принято решение о прекращении работы над развитием протокола в связи с выполнением основной задачи проекта (разработка SSH) и отсутствием достаточного экспертного уровня для перехода к разработке полноценного протокола удалённой файловой системы.
SSH – это сетевой протокол, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов). Схож по функциональности с протоколами Telnet и rlogin, но, в отличие от них, шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования. SSH-клиенты и SSH-серверы доступны для большинства сетевых операционных систем.
SSH позволяет безопасно передавать в незащищённой среде практически любой другой сетевой протокол. Таким образом, можно не только удалённо работать на компьютере через командную оболочку, но и передавать по шифрованному каналу звуковой поток или видео (например, с веб-камеры). Также SSH может использовать сжатие передаваемых данных для последующего их шифрования, что удобно, например, для удалённого запуска клиентов X WindowSystem.
Первая версия протокола, SSH-1, была разработана в 1995 году исследователем Тату Улёненом из Технологического университета Хельсинки (Финляндия). SSH-1 был написан для обеспечения большей конфиденциальности, чем протоколы rlogin, telnet и rsh. В 1996 году была разработана более безопасная версия протокола, SSH-2, несовместимая с SSH-1. Протокол приобрел ещё большую популярность, и к 2000 году у него было около двух миллионов пользователей. В настоящее время под термином «SSH» обычно подразумевается именно SSH-2, т.к. первая версия протокола ввиду существенных недостатков сейчас практически не применяется. В 2006 году протокол был утвержден рабочей группой IETF в качестве Интернет-стандарта.
Распространены две реализации SSH: частная коммерческая и бесплатная свободная. Свободная реализация называется OpenSSH. К 2006 году 80 % компьютеров сети Интернет использовало именно OpenSSH. Частная реализация разрабатывается организацией SSH Communications Security, которая является стопроцентным подразделением корпорации Tectia, она бесплатна для некоммерческого использования. Эти реализации содержат практически одинаковый набор команд.
Протокол SSH-2, в отличие от протокола telnet, устойчив к атакам прослушивания трафика («снифинг»), но неустойчив к атакам «человек посередине». Протокол SSH-2 также устойчив к атакам путем присоединения посредине (англ. sessionhijacking), так как невозможно включиться в уже установленную сессию или перехватить её.
Для предотвращения атак «человек посередине» при подключении к хосту, ключ которого ещё не известен клиенту, клиентское ПО показывает пользователю «слепок ключа» (англ. keyfingerprint). Рекомендуется тщательно проверять показываемый клиентским ПО «слепок ключа» со слепком ключа сервера, желательно полученным по надёжным каналам связи или лично.
Поддержка SSH реализована во всех UNIX-подобных системах, и на большинстве из них в числе стандартных утилит присутствуют клиент и сервер ssh. Существует множество реализаций SSH-клиентов и для не-UNIX ОС. Большую популярность протокол получил после широкого развития анализаторов трафика и способов нарушения работы локальных сетей, как альтернативное небезопасному протоколу Telnet решение для управления важными узлами.
Связь с использованием SSH
Для работы по SSH нужен SSH-сервер и SSH-клиент. Сервер прослушивает соединения от клиентских машин и при установлении связи производит аутентификацию, после чего начинает обслуживание клиента. Клиент используется для входа на удалённую машину и выполнения команд.
Сравнение с FTPS
Главное, что отличает SFTP от стандартного FTP и FTPS, это то, что SFTP шифрует абсолютно все команды, имена пользователей, пароли и другую конфиденциальную информацию.
Оба протокола FTPS и SFTP используют сочетание асимметричных алгоритмов (RSA, DSA), симметричных алгоритмов (DES/3DES, AES, Twhofish т.д.), а также алгоритм обмена ключами. Для аутентификации FTPS (или, если быть более точным, SSL / TLS по протоколу FTP) использует сертификаты X.509, в то время как SFTP (SSH протокол) использует SSH ключи.
Сертификаты X.509 включает в себя открытый ключ и некоторую информацию о сертификате владельца. Эта информация позволяет, с другой стороны, проверить целостность самого сертификата, подлинность и владельца свидетельства. Сертификатов X.509 имеет соответствующий закрытый ключ, который обычно хранится отдельно от сертификата по соображениям безопасности.
SSH ключ содержит только открытый ключ (соответствующий закрытый ключ хранится отдельно). В нем не содержится никакой информации о владельце ключа. Некоторые SSH реализации используют сертификаты X.509 для аутентификации, но на самом деле они не проверяют всю цепочку сертификатов — только открытый ключ используется (что делает такую проверку подлинности неполной).
Заключение
Протокол FTP, несомненно, до сих пор играет важную роль в вопросе хранения и распространения информации в сети несмотря на свой почтенный возраст. Это удобный, многофункциональный и стандартизированный протокол. На его базе построено множество файловых архивов, без которых техническая работа была бы не столь эффективна. Кроме того, он лёгок в настройке, а программы-серверы и клиенты существуют практически для всех актуальных и не очень платформ.
В свою очередь его защищённые версии решают проблему конфиденциальности хранимых и передаваемых данных в современном мире. Оба новых протокола имеют свои плюсы и минусы и выполняют немного разные роли. В тех областях, где необходим именно файловый архив предпочтительнее использовать FTPS, особенно если раньше там уже использовался классический FTP. SFTP менее распространён в силу своей несовместимости со старым протоколом, но более защищён и имеет больший функционал, так как является частью системы удалённого управления.