SFTP ans Laufen bringen?! Wiki Artikel alt?

Status
Für weitere Antworten geschlossen.

randfee

Benutzer
Mitglied seit
08. Apr 2010
Beiträge
1.070
Punkte für Reaktionen
3
Punkte
64
Weil Standard-FTP (total unverschlüsselt) für mich eigentlich nicht mehr in Frage kommt hab ich FTP(SSL/TSL) aktiviert. Dumm ist nur, dass die Hälfte der clients damit muckt und es instabil ist gegenüber SFTP. Noch dümmer ist dann aber, dass der DSM kein SFTP hat :mad: was mir erst auffiel, als ich's aktivieren wollte. Gesucht und im Wiki gefunden viel mir dann aber auf:
Hohes Sicherheitsrisiko Da sich jeder freigeschaltete Benutzer auch über SSH einloggen kann, hat er Zugriff auf alle Betriebsystem Verzeichnisse und viele Dateien. Die Zugriffsrechte werden direkt in Linux gesetzt und nicht über die Weboberfläche.
http://www.synology-wiki.de/index.php/SFTP_SCP

Na das ist doch aber auch sehr unschön. Ist der Artikel nicht etwas alt? Eigentlich nicht, letztes Update ist ja erst ein paar Wochen alt.
Bei mir läuft
OpenSSH_5.2p1, OpenSSL 1.0.0a 1 Jun 2010
und von dem was ich weiß sollte das doch SFTP mit im Server drin haben. Auch sollte das Problem von oben keines mehr sein, da der Server beim SFTP login eine "virtuelle chroot-Umgebung" zur Verfügung stellt und der User somit keine shell mehr braucht.

Geht das nicht simpler? Gut möglich, dass ich (wie meist) nur gefährliches Halbwissen habe und daher total falsch mutmaße :p
Ich glaube ich muss mich mal ganz blöd stellen und den support torpedieren, das gehört gefälligst rein :(. Wie gesagt... mit FTP(SSL) gibts erfahrungsgemäß weiterhin viele Probleme....
 
Zuletzt bearbeitet:

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
So richtig einordnen kann ich diesen Post^^ nicht.

SFTP (SSH_FTP) und FTPS(SSL/TSL) sind zunächst einmal zwei unterschiedliche Verfahren, die zwar den gleichen Zweck erfüllen wollen, aber recht unterschiedliche Strategien dabei verfolgen. Das Durcheinander beginnt damit, dass es FTP-Clients gibt, die beides (und noch mehr) anbieten. Daraus abzuleiten, dass ein SFTP mit FTPS nicht harmoniert oder umgekehrt, ist daher müßig. Es muss schon das eine oder das andere genommen werden.

SFTP verwende ich nicht, daher kann ich wenig dazu beitragen und kann auch nicht bestätigen, ob der Wiki-Artikel dazu 'alt' ist.

Zu FTP via SSL/TSL kann ich sagen, dass es keine (!) Probleme macht. Auch der auf der DS zu konfigurierende Passiv-Mode dient der Sicherheit. Die Handhabung, z.B. aus einer PHP-Umgebung heraus, ist gradlinig und kann im xFTP-Skript in meinem AdminTool eingesehen werden.

Itari
 

randfee

Benutzer
Mitglied seit
08. Apr 2010
Beiträge
1.070
Punkte für Reaktionen
3
Punkte
64
ja, mir ist der Unterschied bewusst. Es geht mir darum, dass ich schon öfter Probleme mit FTP(SSL/TSL) hatte und diese nun mit der DS nochmal bestätigt wurden. Habs gestern spaßeshalber mal aktiviert und diverse Leute testen lassen. Mutter und Bruder 1 kommen drauf, Bruder 2, Onkel und zwei Bekannte nicht mit ihren Tools (die das Unterstützen). Auf einer location gehts mit filezilla ohne Probleme, von einem anderen Rechner wieder nicht...
Ich selber kam aber eigentlich noch immer damit klar nur nutzt mir dies nichts wenn die Gegenstelle dann stetig support von mir braucht um mal auf eine file zuzugreifen!

All diese Probleme sind mir mit SFTP unbekannt, das funktioniert eigentlich immer tadellos und daher war es meine Intention SFTP auf der DS ans Laufen zu bringen. Wie gesagt, das sollte eigentlich im OpenSSH mit drin sein, daher bin ich vom Wiki-Artikel (siehe Zitat oben) verwirrt.
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
SSH wird ja schon für die Konsole verwendet. Und damit hat man gewollt Zugriff auf die Systemdateien. SFTP würde ja die gleiche Anmeldung verwenden. Und damit landet man dann eben nicht wie bei FTP auf /volume1 sondern bei /. Und das ist dann so für einen normalen Zugang natürlich nicht zu gebrauchen. Meines Wissens gibt es da auch keine anderen Möglichkeiten.

Wichtig ist, dass Deine Benutzer FTPES (FTP über explizites SSL/TLS) verwenden und nicht FTP über implizites SSL/TLS. Dann funktioniert das auch. Sicher. Sonst lass dir doch mal die Logdaten zuschicken, dann schauen wir nach, wo das Problem liegt.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Wenn du dich auf das Sicherheitsrisiko beziehst, dann muss man das etwas relativieren. Jeder User der zugreifen kann darf innerhalb seiner Rechte Dateien bearbeiten, angucken und löschen. Ein unprivilegierter User wird also keine Rechte habe wichtige Systemdateien zu ändern.
Und ob du jetzt SFTP mit root oder direkt ssh Zugriff mit root machst, ist imho Jacke wie Hose. Wenn man den root Accounts knackt, dann hast du eh ein Riesenproblem.
Das Risiko für root lässt sich etwas minimieren, indem man einen zertifikatsbasierten Login für ssh macht und Passwort Anmeldungen verbietet. Dann sind BruteForce Attacken gegen die Logins praktisch ausgeschlossen
 

randfee

Benutzer
Mitglied seit
08. Apr 2010
Beiträge
1.070
Punkte für Reaktionen
3
Punkte
64
@trolli
ftp(ssl) kackt einfach bei diversen applications öfter ab, been there, done that. SFTP ist auch laut versierten Bekannten die bessere Lösung, daher will ich das einrichten. Wodran jetzt gestern genauer die Probleme lagen weiß ich nicht, aber es hat diverse durchaus kompetentere Leuten als mir stutzig gemacht die auch nichts fanden aber solche Probleme schon öfter mit FTP(SSL) sahen.
Im OpenSSH ist doch SFTP mit drin... von daher verstehe ich nicht wieso die DS es nicht unterstützt und wieso dies nur so komplex zu implementieren ist. Muss heute Abend nochmal genauer den Wiki-Artikel durchsehen.
Achso und "SFTP würde ja die gleiche Anmeldung verwenden.".... soweit ich weiß geht das besser, SFTP kann man in OpenSSH (soweit ich weiß) nutzen ohne über den Konsolen-Login zu gehen.

@jahlives
jo... zertifikatsbasierten login war bei mir auch schon auf dem Tisch, ist aber jetzt erstmal nicht relevant, ich werde es entweder so oder mit beschränkten IP-Bereichen machen, aber das kommt später.
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Ja klar geht das ohne Konsole. Das Problem an dem Login ist halt, dass man dabei im Betriebssystem der DS landet und nicht bei den Freigabeordnern. Ich nehme mal schwer an, das genau das auch der Grund ist, warum das von Synology nicht unterstützt wird.

Ich kenne auch keine wirklichen Probleme mit FTPES. Aber gut. Das soll ja hier auch nicht das Thema sein.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Achso und "SFTP würde ja die gleiche Anmeldung verwenden.".... soweit ich weiß geht das besser, SFTP kann man in OpenSSH (soweit ich weiß) nutzen ohne über den Konsolen-Login zu gehen.
nicht das ich wüsste. Denn SFTP geht ja via ssh und braucht damit einen gültigen Shell Login. Wer SFTP Zugriff hat muss afaik auch ssh Zugriff haben. Anders geht es nicht
 

randfee

Benutzer
Mitglied seit
08. Apr 2010
Beiträge
1.070
Punkte für Reaktionen
3
Punkte
64

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0

sft:x:1001:1001:Secure File Transfer Account,,,:/home/sft:/usr/bin/rssh
das ist eine gültige Shell. Klar die Möglichkeiten werden eingeschränkt z.B. mit IP Beschränkung und Kommandobeschränkung. Ändert aber nichts daran, dass dies eine gültige Shell ist ;)
Und für root solltest du das erst gar nicht so probieren, denn damit würde dir der uneingeschränkte root Zugriff flöten gehen
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat