SFTP 서버 : SSH 내부 sftp 하위 시스템 또는 ProFTPD 플러그인을 사용하는 것이 더 낫습니까?

새 SFTP 서버를 설치해야했습니다. 당연히 이것은 매우 간단한 작업 internal-sftp입니다. 유비쿼터스 SSH 서비스 (chrooting 사용)의 역할을 사용하면 안정적인 SFTP 서버를 보유하기에 충분합니다.

그러나 동일한 문제에 대해 항상 적어도 두 가지 다른 접근 방식을 시도 ProFTPD하는 것이 당연합니다 .sftp 플러그인과 함께 사용 하여보다 세부적인 파일 전송 관련 옵션 (예 : 대역폭 조절)의 추가 이점을 사용하여 동일한 작업을 수행 할 수 있음을 깨달았습니다 . ). 다른 한편으로,이 플러그인은 기본적으로 컴파일 (및 번들)되지 않으며 "아마도 테스트되지 않은"솔루션을 피하고 싶습니다.

현재 필요한 유일한 서비스는 SFTP입니다. 그러나, 나는 미리 연주하고 있으며 SFTP뿐만 아니라 FTP / S에서도 작동하는 솔루션을 구현하고 싶습니다.

내가 집 안에서 chroot 사용자들에게 갔다고 생각하면, 더 나은 해결책은 무엇이라고 생각 하는가?

1. FTP / S 서비스에 SSH internal-sftp및 독립형 FTP 서버 ( vsftpd또는 proftpd) 사용
2. 관련 플러그인과 함께 ProFTPD 서비스 만 사용하십시오

SSH의 sftp 서버에는 chroot 디렉토리에 대한 몇 가지 추가 요구 사항이 있습니다. 사용자는 일부 환경에서 chroot dir에 대한 쓰기 권한을 가질 수 없습니다. 이것이 문제 일 수 있습니다.

ftp / ftps도 필요하다면 mod_sftp를 사용하는 것이 좋습니다. 거의 문제가없는 10k 개 이상의 계정을 가진 약 20 대의 서버에서 프로덕션 환경에서 사용하고 있습니다 (sftp가 가장 적게 사용되는 프로토콜). 단점은 암호 인증 방법을 지원하지 않지만 rsa 키 및 키보드 대화식을 지원하므로 아주 오래된 클라이언트에게만 문제가된다는 것입니다.

이것은 오래된 스레드이지만 향후 독자들을 위해 몇 년 동안 mod_sftp와 함께 proftpd를 전혀 문제없이 사용하도록 서버를 구성하고 있다고 덧붙였습니다. 서비스를 분리하면 보안, 서비스 자체 및 사용자 관리를 세밀하게 제어 할 수 있다는 점이 매우 좋습니다.

sftp_pam 모듈도 포함하는 경우 mod_sftp를 사용하여 비밀번호 / 키 중 하나 또는 둘 다를 지원하도록 proftpd를 구성 할 수 있습니다. 다음은 둘 다 활성화하는 구성 예입니다.

# Include all available modules
Include /etc/proftpd/modules.conf

<Global>
  <IfModule mod_sftp.c>
    <IfModule mod_sftp_pam.c>
      SFTPPAMEngine on
      SFTPPAMServiceName sftp
    </IfModule>

    SFTPEngine on
    SFTPLog /var/log/proftpd/sftp.log

    # Configure both the host keys
    SFTPHostKey /etc/ssh/ssh_host_rsa_key
    SFTPHostKey /etc/ssh/ssh_host_dsa_key

    SFTPAuthMethods publickey password keyboard-interactive
    SFTPAuthorizedUserKeys file:/etc/proftpd/authorized_keys/%u

    # Enable compression
    SFTPCompression delayed
  </IfModule>
</Global>