A Quand Sftp Comme Le Ftp ?

[philou22]

bonjour à tous.

je sollicite ici les dévelopepurs de DSM.

afin d'obtenir un serveur SFTP pour mes clients, il faudrait ne pas être obligé d'utiliser admin avec la modif du fichier sshd_config.

FTP est trop dangereux (user et pw en clair), SFTP est très simple : un seul port. mais il faudrait pouvoir le gérer par user du NAS. ce serait un vrai progrès.

à moins qu'il n'y ait une astuce....

pour l'instant je passe par un serveur SFTP externe, mais c'est dommage de ne pas faire cela avec le NAS.

merci à tous.

philippe

[Diaoul]

Tu peux utiliser du FTPS, c'est s

[philou22]

bonsoir. en FTPS, contrairement au SFTP, et si j'ai bien compris, le login se fait en clair. ce qui est dangereux. se faire sniffer le login est + dangereux que sniffer les data, qui sont cryptées AES par ailleurs avant transmission.

en +, SFTP ne demande qu'un seul port.

si j'ai tout compris de ce que j'ai lu sur le Web. Merci

[Diaoul]

Bha t'as mal compris à mon avis, c'est du FTP over SSL/TLS, comme le HTTPS.

http://rene.thiel.free.fr/spip.php?article105

En anglais :

http://ezinearticles.com/?Security-of-SFTP-Vs-FTPS&id=4885637

[philou22]

c'est pour cela qu'il existe les forums .......

petite question (je n'ai pas cherché) : le syno fait FTPS ?

merci

[PiwiLAbruti]

Le NAS fait du FTP SSL/TLS en mode explicite (FTPES).

[cricx]

Ceci dit, le syno fait sftp avec une petite modification du sshd_config, et permet de l'autorise par utilisateur en mettant un shell valide pour les utilisateurs choisis.

[philou22]

bonjour et merci. j'ai déjà fait la modif du sshd_config via file edit. seul défaut : on tombe à la racine du système !!! bien sur, j'ai retrouvé le home dir qu'il me fallait, mais bon .....

comment fait-on (suis pas linuxien, mais j'ai bossé sur des gros systèmes style HP3000 sous MPE-XL) pour :

- autoriser le user choisi sans le mettre admin du nas (ce serait mieux ......)

- lui mettre son homedir en connexion SFTP

merci d'avance.

ps : je vais tester FTPS

[Diaoul]

Hello,

• Ce n'est pas parce qu'il a accès en lecture à la racine qu'il est admin. Il ne pourra pas modifier les fichiers système s'il n'a pas les droits dessus (et il ne devrait pas les avoir donc tout va bien)
  
• Peut être que c'est possible, avec la directive ChrootDirectory (http://www.debian-administration.org/articles/590) mais je ne m'y connais pas plus que ça
  

[cricx]

bonjour et merci. j'ai déjà fait la modif du sshd_config via file edit. seul défaut : on tombe à la racine du système !!! bien sur, j'ai retrouvé le home dir qu'il me fallait, mais bon .....

comment fait-on (suis pas linuxien, mais j'ai bossé sur des gros systèmes style HP3000 sous MPE-XL) pour :

- autoriser le user choisi sans le mettre admin du nas (ce serait mieux ......)

- lui mettre son homedir en connexion SFTP

éditer le fichier /etc/passwd et remplacer la fin de la ligne (/sbin/nologin par /bin/ash). Tu peux utiliser l'éditeur vi, cherche un peu avant sur internet les principales commandes. L'utilisateur ne sera pas admin du nas, il pourra juste s'y connecter en ssh.

Si tu veux restreindre ses droits, le mieux est de lui mettre un shell restreint (rssh, scponly : http://rpm.pbone.net/index.php3/stat/45/idpl/16703441/numer/8/nazwa/scponly)

Hello,

• Ce n'est pas parce qu'il a accès en lecture à la racine qu'il est admin. Il ne pourra pas modifier les fichiers système s'il n'a pas les droits dessus (et il ne devrait pas les avoir donc tout va bien)
  
• Peut être que c'est possible, avec la directive ChrootDirectory (http://www.debian-ad...rg/articles/590) mais je ne m'y connais pas plus que ça
  

+1 pour ta remarque.

la directive chrootdirectory ne fonctionne pas, à ma connaissance, avec la version installée sur syno. vérifier quand même sur les firmwares récents si c'est toujours le cas.

[philou22]

merci à vous. en attendant, je creuse FTPS et je me pose la question :

SSL ou TLS ? quel est le + sécurisé ?

merci

[philou22]

après lecture de pages Ouaib, TLS un peu mieux semble-t-il.

[philou22]

hello

par contre, le débit en FTPS TLS est supérieur au SFTP, sur un canal UPLOAD 1 Mb/s, on passe de 75 Ko/s à 100 Ko/s.

moins d'encapsulation ?

à noter qu'en passant par un serveur SFTP CoreFTPServer sur un Windows, avec le NAS derrière comme stockage, j'étais encore + bas : 50 ko/s ; différence : clef de cryptage publique et privée. mais je ne suis pas sur de comprendre pourquoi le Syno va + vite en SFTP que CoreFtpServeur. et c'est pas le LAN qui ralentit : Gb avec Switch manageable niveau 2 surveillé.

bonne soirée.