昨天我與一些第三方系統管理員就服務器之間的文件傳輸接口的設置進行了交流。
我建議使用SFTP,因為我們的應用程序對此具有很好的支持。我的對話者絕對希望我們目前不支持並且需要開發的FTP + S(FTP + TLS)。
我辯稱,與SFTP相比,FTP + S並沒有任何真正的好處,因為兩者提供可靠的流量加密。 SFTP隨時可用,並且可以通過公共密鑰身份驗證使其更加安全。最後但並非最不重要的一點是,它的單一連接模式使在公司防火牆之後使用起來更加方便。 ,並且打開SSH端口以用於管理以外的其他用途顯然不是一個好主意,因為它會打開針對主機系統的廣泛攻擊媒介。
我想知道此參數是否有效。似乎有多種方法可以將SSH會話限制為僅允許SFTP文件傳輸。 openSSH附帶有internal-sftp子系統,您可以在其中輕鬆設置chroot並禁用TCP轉發。我什至聽說過可能允許用戶通過SFTP進行連接而無需在passwd文件中輸入任何內容的解決方案...我看不到SFTP所沒有的任何明顯問題,而FTP + S所沒有,但是我可能會丟失一些東西?
因此,儘管可以對SSH施加限制,但出於安全考慮,FTP + S是否是更好的文件傳輸選項?