Onderwerp: FTP onveilig maar SSH toch ook?

Geachte lezers,

Het is me inmiddels duidelijk dat FTP niet meer een gangbare manier is om data over te brengen, ook al werkt het heerlijk. Ik heb begrepen dat 'afluisteren' makkelijk is en het wachtwoord niet encrypted de server bereikt. Een alternatief is SSH of SFTP maar dan begrijp ik het niet.

Ik heb een dedicated met PLESK 8.4. Als ik daar SSH aanzet (geen idee welke ik moet kiezen maargoed) dan wordt mij nadrukkelijk gezegd dat dit onveilig is. Ook als ik in het log kijk zie ik honderden pogingen om middels SSH in te loggen. Daarom heb ik het uitstaan (forbidden).

Maar hoe kan ik dan WEL veilig bestanden overbrengen naar mijn server?

Ik ben benieuwd wat jullie als experts gebruiken. Ik gebruik Windows en ben verder niet bijzonder technisch onderlegd met SSH commando's bijvoorbeeld.

Met vriendelijke groet,


Pim

Die logs geven aan dat mensen proberen om je server binnen te komen. Door SSH uit te zetten, is er inderdaad geen voordeur om bij aan te bellen. Maar dat betekent ook dat je zelf niet door die deur heen kunt. Net als thuis doe je je voordeur alleen open voor bekenden, in het geval van SSH dus iemand die de juiste toegangscodes heeft. Wat dat betreft verschillen FTP en SSH (SFTP) niet van elkaar. In je logs kun je ook terugvinden dat men op de FTP deur staat te bonken om te proberen binnen te komen.

Het verschil is, dat je bij SSH communicatie niet de toegangscodes kunt afluisteren. Dus ze kunnen wel op de SSH poort kloppen, maar komen er niet in. Bij FTP is het wel mogelijk om toegangscodes te sniffen en daarna dus gewoon in te loggen.

Ligt eraan wat voor data, FTP is nog steeds zeer gangbaar maar SSH/SCP kan inerdaad wnselijk zijn.
Ik zou zeggen installeer een SCP server en gebruik WinSCP.

Je haalt een aantal zaken door elkaar heen. FTP is onveilig. De reden waarom Plesk aangeeft dat het onveilig is is het feit dat je een shell geeft aan een klant. Een klant die een shell heeft kan al veel sneller (hij is lokaal gebruiker!) onveilige zaken uitvoeren. Downloaden en uitvoeren van shellcode om je kernel te kraken gaat net iets makkelijker als je al ingelogd bent, dan als je op zoek moet gaan naar een exploit in bijvoorbeeld een PHP script (al vraag je je dat de laatste jaren ook af).

Daarom: Geen /bin/bash of /bin/sh aan klanten. Geef ze een sterk wachtwoord, en iets wat voor hun uniek is, en dan gewoon lekker via FTP uploaden. Jij doet uiteraard ("omdat het kan") dat gewoon veilig via SSH.

Oorspronkelijk geplaatst door DiedX

Je haalt een aantal zaken door elkaar heen. FTP is onveilig. De reden waarom Plesk aangeeft dat het onveilig is is het feit dat je een shell geeft aan een klant. Een klant die een shell heeft kan al veel sneller (hij is lokaal gebruiker!) onveilige zaken uitvoeren. Downloaden en uitvoeren van shellcode om je kernel te kraken gaat net iets makkelijker als je al ingelogd bent, dan als je op zoek moet gaan naar een exploit in bijvoorbeeld een PHP script (al vraag je je dat de laatste jaren ook af).

Daarom: Geen /bin/bash of /bin/sh aan klanten. Geef ze een sterk wachtwoord, en iets wat voor hun uniek is, en dan gewoon lekker via FTP uploaden. Jij doet uiteraard ("omdat het kan") dat gewoon veilig via SSH.

Sinds wanneer krijg je een shell als je via FTP inlogt ?

Ik denk dat jezelf dingen door elkaar haalt.

Je hele verhaal omtrend een shell aan klanten geven klopt wel, maar dat slaat dan uiteraard op SSH, niet op FTP.

Het is niet onveilig omdat het via een gewone verbinding gaat. In dat geval zou 99% van de verbindingen onveilig zijn.

Het beveiligen van verbindingen kan, zelfs van FTP. Maar de vraag is of dit echt nodig is voor normaal gebruik en dit lijkt mij niet het geval. Hoewel het zeer belangrijk is om backups van bijvoorbeeld een hele server of veel klantgegevens wel via een beveiligde verbinding te laten gaan.

Oorspronkelijk geplaatst door Paulewk

Ik denk dat jezelf dingen door elkaar haalt.

Dat denk ik niet. Plesk loop te mauwen over onveiligheid, en AFAIK is de enige manier wanneer dat doet, wanneer de admin een shell geeft.

Dank voor de snelle reacties!
Als ik het goed begrijp:
- Als ik SSH op Forbidden zet is de deur dicht maar ook volledig dichtgespijkerd.
- Als ik de optie van SSH in Plesk open zet is die nog steeds dicht en gaat die pas open met een juist wachtwoord. Een beetje hacker heeft wel meer kans op het zonder wachtwoord te lukken.

- Omdat ik nu FTP gebruik is die deur dus eigenlijk ook kwetsbaar voor hackers. Het hangt er dus gewoon vanaf welke deur ik open zet en welke dicht. Echter, met SSH kan je volgens mij als kwaadwillende veel meer.

Conclusie:
Zet FTP uit en SSH aan. Dan met Putty of iets dergelijks bestanden op de server zetten.


Rest mij nog te vragen: Welke van de SSH opties moet ik dan kiezen? Ik hoef verder niet meer te kunnen dan bestanden heen en weer te gooien.


Pim

Hoe zit het nu in elkaar? Ben jij de admin van de server, en ga je deze inzetten voor je eigen website, of zet je klanten hiervan op deze server?

Ik denk dat je je even te para opstelt

Btw, zeer grote kans dat SSH uberhaupt al aanstaat op die doos, in plesk ka nje het (dacht ik) alleen maar voor bepaalde users enablen / disablen.

Een SSH login is voor klanten nooit gewenst, verder hebben ze dit ook eigenlijk nooit nodig.

Je geeft gewoon FTP toegang, daarmee kan je prima bestanden heen en weer halen en daar ging het je om.

Oorspronkelijk geplaatst door DiedX

Dat denk ik niet.

Dat denk ik wel.

Volgens mij bedoel jij in jouw eerste zin SSH in plaats van FTP.

Oorspronkelijk geplaatst door Paulewk

Een SSH login is voor klanten nooit gewenst, verder hebben ze dit ook eigenlijk nooit nodig.

Je geeft gewoon FTP toegang, daarmee kan je prima bestanden heen en weer halen en daar ging het je om.

Mee eens

Oorspronkelijk geplaatst door MediaServe

Dat denk ik wel.

Volgens mij bedoel jij in jouw eerste zin SSH in plaats van FTP.

Nee hoor.

Oorspronkelijk geplaatst door MediaServe

Mee eens

Mooi, dan ben je het ook met mij eens

Even voor de duidelijkheid: je hebt twee scenario's:

* TS heeft zijn eigen server, en heeft daar geen shared hosting op

=> FTP dichtzetten via iptables. SSH enablen voor het account, sterk wachtwoord kiezen

* TS biedt shared hosting aan

=> Alleen FTP aanbieden voor shared hosting pakketten, SSH dichtsmijten hiervoor. Zelf SSH gebruiken voor het uploaden voor files.

Zo moeilijk is het toch niet?

Tussenweg: maak FTP/TLS werkend, dan kun je ook versleuteld inloggen en bestanden heen en weer schuiven. Ouderwetse FTP is onveilig omdat de verbinding niet versleuteld is. Net als HTTP://, dat gebruik je ook niet om in te loggen op je control panel (je gebruikt httpS://).

En als je alle moeite om de ftp en ssh te beveiligen, ssl certificaten te kopen en de halve wereld te blokken met iptables eindelijk gedaan hebt, niet je mail met pop3 gaan ophalen, he

Oorspronkelijk geplaatst door systemdeveloper

En als je alle moeite om de ftp en ssh te beveiligen, ssl certificaten te kopen en de halve wereld te blokken met iptables eindelijk gedaan hebt, niet je mail met pop3 gaan ophalen, he

jawel, maar dan een ander wachtwoord hiervoor gebruiken, no problemo

en anders natuurlijk IMAP/POP/SMTP over SSL wat nog steeds POP is