Ich hatte gestern einen Austausch mit einem Systemadministrator eines Drittanbieters bezüglich der Einrichtung einer Dateiübertragungsschnittstelle zwischen unseren Servern.
Ich schlug die Verwendung von SFTP vor, da unsere Anwendung dies gut unterstützt. Mein Gesprächspartner möchte unbedingt FTP + S (FTP + TLS), das wir derzeit nicht unterstützen und entwickeln müssten.
Ich argumentierte, dass ich in FTP + S keinen wirklichen Vorteil gegenüber SFTP gesehen habe, da beide bieten solide Verkehrsverschlüsselung. SFTP ist leicht verfügbar und kann durch die Authentifizierung mit öffentlichem Schlüssel noch sicherer gemacht werden. Last but not least macht es der Einzelverbindungsmodus viel einfacher, ihn hinter Unternehmensfirewalls zu verwenden.
Der Systemadministrator nannte mich fast einen Idioten und erklärte, dass SFTP auf SSH funktioniert, einem Protokoll, das für Verwaltungszwecke entwickelt wurde und dass das Öffnen eines SSH-Ports für eine andere Verwendung als die Verwaltung eindeutig eine schlechte Idee ist, da dadurch ein breiter Angriffsvektor gegen das Hostsystem geöffnet wird.
Ich frage mich, ob dieses Argument gültig ist. Es scheint verschiedene Möglichkeiten zu geben, eine SSH-Sitzung so einzuschränken, dass nur die Übertragung von SFTP-Dateien möglich ist. Es gibt das interne Open-SFTP-Subsystem, das mit openSSH geliefert wird, mit dem Sie einfach eine Chroot einrichten und die TCP-Weiterleitung deaktivieren können. Ich habe sogar von Lösungen gehört, mit denen Benutzer vermutlich eine Verbindung über SFTP herstellen können, ohne dass ein Eintrag in die passwd-Datei erforderlich ist ... Ich sehe kein klares Problem mit SFTP, das Sie mit FTP + S nicht hätten, aber mir könnte etwas fehlen?
Ist FTP + S trotz der Einschränkungen, die Sie für SSH anwenden können, aus Sicherheitsgründen eine bessere Option für Dateiübertragungen?