FTPES/ProFTP über Konsole

[kwitz]

Hallo zusammen,

ich habe mir einen FTP Server installiert und habe diese Anleitung (weil ich mich dem "sicher machen" nicht so auskenne) als Vorlage genommen:
http://www.howtoforge.com/setting-up-pr ... rmic-koala

Nun habe ich das Problem, dass ich von einem Windowssystem über die Konsole auf den Server zugreifen muss. Leider bekomme ich das nicht hin.
Mit den FPT Befehl in Windows bekomme ich keinen Zugriff. Über FileZilla funktioniert es. Ich vermute, dass es wegen dem Zertifikat nicht klappt.
Kann mir jemand sagen was machen muss?

Vielen Dank schon mal.

Gruß
Kwitz

[nepos]

Kann das Windows-Kommandozeilen FTP denn überhaupt mit SSL/TLS umgehen? Denke, dass du da was anderes als das FTP-Kommando aus Windows für die Kommandozeile benutzen musst.

[123456]

curl könnte das können...
hier ein Windows Binary:
http://curl.haxx.se/latest.cgi?curl=win32-ssl

[dawg]

puttys psftp geht nicht?
http://www.putty.nl/download.html

[nepos]

puttys psftp geht nicht?
http://www.putty.nl/download.html

Das hat nichts mit FTP mit SSL/TLS zu tun! psftp ist ein Client fuer SFTP, ein FTP-ähnliches Protokoll, das über einen SSH-Tunnel arbeitet. Der Name ist zwar ähnlich, aber es ist doch was ganz anderes.

[uname]

Generell würde ich eher das sftp-Subsystem (in Verbindung mit SSH) einsetzen als FTP TLS/SSL. Dann kann man unter Windows z.B. WinSCP, mit Putty das sftp oder mit Mindterm sftp nutzen. Auch ist die Kommunikation zwischen Linux-Systemen einfachner (sftp, sshfs, rsync über ssh). Zudem brauchst du keinen zweiten Port aufmachen oder eine zweite Anwendung (hier FTP-Server) installieren.

[dawg]

puttys psftp geht nicht?
http://www.putty.nl/download.html

Das hat nichts mit FTP mit SSL/TLS zu tun! psftp ist ein Client fuer SFTP, ein FTP-ähnliches Protokoll, das über einen SSH-Tunnel arbeitet. Der Name ist zwar ähnlich, aber es ist doch was ganz anderes.

danke.

[123456]

man könnte vielleicht auch lftp via cygwin nutzen...

[kwitz]

curl könnte das können...

Und das kann es auch! Vielen Dank!

Lösung

Benötigt wird:

Win32OpenSSL-0_9_7
curl-7.19.5-win32-ssl

Der Aufruf muss lauten:

curl.exe -T "zu kopierende Datei" -v --ftp-ssl-reqd --capath /etc/proftpd/ssl --cacert proftpd.cert.pem ftp://benutzername:passwort@servername:port

- die Pfade und Namen der Zertifikate können natürlich abweichen
- der Servername muss genauso lauten wie im Zertifikat!

[uname]

ich habe mir einen FTP Server installiert und habe diese Anleitung (weil ich mich dem "sicher machen" nicht so auskenne) als Vorlage genommen:

FTP und sicher ...

Warum aktivierst du nicht einfach das sftp-Subsystem (eine Zeile in /etc/ssh/sshd_config) und nutzt dann einfach z.B. WinSCP. Geht wahrscheinlich sogar mit SSH-Keys. Das wäre dann vielleicht sicher.

[Flynn]

FTP und sicher ...

Diese dämlichen Vorurteile wieder. Wie verschickst du denn deine eMails? Über SMTP?

Is total unsicher, weil das ja auch ohne TLS eingesetzt werden kann

[kwitz]

Das wäre dann vielleicht sicher.

Vielleicht? Warum umstellen, wenn es danach auch nicht sicher ist?

Es klingt eigentlich ganz gut auf wikipedia:

"Dank FTP über SSL ist es möglich, eine FTP-Übertragung auch im Passiv-Modus komplett zu verschlüsseln. Im Aktiv-Modus wird oft die Variante Implicit SSL genutzt, wobei der Kontrollkanal sofort beim Verbindungsaufbau verschlüsselt wird und nicht erst durch das Klartext-Kommando AUTH SSL bzw. AUTH TLS, wie bei der Variante Explicit SSL (auch FTPES genannt), dazu gebracht wird."

In Verbindung mit so Dingen wie

- FTP User darf sich am System nicht anmelden (keine Bash)
- der Zugriff auf den FTP Port wird von der Firewall nur auf den FTP Server zugelassen
- da nur best. Leute auf den FTP zugreifen müssen, werden in der Firewall auch nur deren feste IPs zugelassen

fühle ich mich eigentlich ganz sicher. Dass irgendwelche Hacker oder staatliche Institutionen auch über sowas lachen mag sein. Aber diese Art Paranoia habe ich abgelegt
Oder liege ich mit meiner Einschätzung total daneben?

Gruß
Kwitz

[uname]

Naja, vielleicht kann man bei FTP TLS/SSL noch Client-Zertifikate zur besseren Absicherung nutzen. Bei SFTP/SCP sind SSH-Keys mit Passphrase sehr nett und Standard. Vielleicht kann man sich auch noch openVPN als Alternative anschauen.

Wenns dann noch sicherer seien soll könnte man auch am Client eine Semaphor-Datei auf einem Webserver anlegen oder den Start des SSH-Servers als Semaphor definieren.
Der Server würde per CRON danach suchen und selbst eine SSH-Verbindung mit SSH-Remote-Port-Forwarding (natürlich incl. Key, Host-Überprüfung und nur zu fester IP) nutzen. Durch diesen SSH-Tunnel würde man dann wiederum vom Client per SFTP/scponly auf den Server zugreifen. SSH müsste nur auf dem Client und auf dem Server auf Localhost laufen. Jeder Angriff auf den Server würde ins Leere laufen, da er gar keine Services anbietet. Jeder Angriff kann nur über den Client durchgeführt werden.

[kwitz]

danke für die schnelle und informative antwort.
was könnte denn passieren, wenn ich das alles nicht so mache und weiterhin FTPES nutze?

[uname]

Nichts oder vielleicht nicht viel. Aber wenn man Themen auch mal aus einer anderen Sicht betrachtet übt es vor allem. Und je mehr man das Betriebssystem und die Anwendungen versteht, je sicherer ist man selbst und damit die Sicherheit des Systems.

[kwitz]

Nichts oder vielleicht nicht viel. Aber wenn man Themen auch mal aus einer anderen Sicht betrachtet übt es vor allem. Und je mehr man das Betriebssystem und die Anwendungen versteht, je sicherer ist man selbst und damit die Sicherheit des Systems.

da muss ich dir recht geben. vielen dank für die info.