FTP nur über SSH-Key

[Schumiel]

Hallo,

und zwar habe ich ein kleines Projekt übernommen. Nun möchte ich, dass der Vorgänger keinen FTP-Zugang mehr hat. Ich hatte hierzu die Idee, den FTP-Zugang nur noch über einen SSH-Key erlauben zu lassen. Nun habe ich meinen Public-Key auf dem Server hinterlegt, merke ich, dass das hinterlegte FTP-Passwort immer noch funktioniert. Sicher - ich könnte das Passwort einfach ändern, jedoch möchte ich das an dieser Stelle nicht. Lag ich falsch damit, dass man mit einem SSH-Zugang den normalen Zugang nicht abschalten kann?

 

[Isolak]

Also ich glaube du wirfst da ein paar Sachen durcheinander
FTP über SSH wird normalerweise als SFTP bezeichnet und direkt vom SSH daemon bereit gestellt aber FTP kommt von irgendeinem anderen Dienst.
Du musst am besten erstmal herausfinden was FTP bereitstellt also schau mal wer auf Port 21 hört

 

[Tornhoof]

Eh du vermischt da ein paar Sachen?
FTP ist nicht SFTP, du willst SFTP anbieten und deinen FTP abschalten?

 

[CMu]

Ich denke, du bist an einem einfachen Missverständnis aufgesessen FTP over SSH oder auch SFTP (unterscheidet sich zu FTP oder FTP over SSH)bedeutet nur, dass du FTP weiter verwendest, aber dafür ein SSH Tunnel benutzt um den Traffic der ansonsten unverschlüsselt übertragen wird durch den Tunnel leitest. Der FTP Server ist damit immer noch erreichbar.

Du solltest tatsächlich einfach das Passwort ändern oder noch besser, da wir im Jahr 2024 leben, darüber nachdenken, dass FTP generell in heutigen Zeiten aus Security Sicht eine katastrophale Wahl und obsolet ist und nach einer alternative Ausschau halten

 

[h00bi]

Der FTP Server ist damit immer noch erreichbar.

Bei FTP over SSH ist der Port 21 durch den SSH Tunnel erreichbar.
Ein regulärer FTP Port 21 Zugang kann dicht gemacht werden (sofern man Zugriff darauf hat)
Der Dateitransfer nach dem Login läuft unverschlüsselt und nicht durch den Tunnel.

Also grundsätzlich würde das was der TE erreichen will mit FTP over SSH schon klappen, aber er müsste den Port 21 von extern zunageln.

 

[Isolak]

Also grundsätzlich würde das was der TE erreichen will mit FTP over SSH schon klappen, aber er müsste den Port 21 von extern zunageln.

Ja würde ich auch sagen aber es ist immer besser auch den Dienst abzuschalten der auf diesem Port hört.

Kleine Anmerkung noch SSH und damit auch SFTP hören auf Port 22 normales FTP auf 21 also sind beide Dienste deswegen erreichbar

 

[kachiri]

Den Login via Passwort muss man via SSH aber auch schon aktiv deaktivieren.

Und wenn man den Login via FTP komplett deaktivieren will, muss man das eben auch entsprechend konfigurieren. Einfach Public Key hinterlegen und dann passiert alles von Zauberhand selbst ist nicht.

 

[CyborgBeta]

Ja, die Fragestellung ist hier unvollständig...

Aber generell gibt es nur folgende Wege:

a) Dein SSH server erlaubt den Login via Passwort... dann das Passwort für alle ändern (auch wenn's nervig ist)

b) Dein SSH server erlaubt den Login via Keyfile... dann den entsprechenden Key des entsprechenden Benutzers aus der .ssh/authorized_keys-Datei löschen (und anschließend den sshd einmal neu starten)

c) Du nutzt gar nicht sshd, sondern nur normales FTP... dann kommt es auf die eingesetzte FTP-Software an, genauer, auf die dort zulässigen Benutzer

d) Du nutzt FTP (und lässt nur lokale Verbindungen zu) und tunnelst das Ganze via SSH... dann das Passwort an den beiden Stellen ändern

Bei d) erschließt sich mir der Sinn aber nicht... Das wird eigentlich nur gemacht, wenn man dem Authentifizierungsverfahren des FTP-Servers nicht vertraut... aber dann könnte man auch gleich SFTP (also a bzw. b) verwenden... Geschwindigkeitsvorteile bringt es jedenfalls keine.

Also: Bitte erst einmal ermitteln, was bei dir vorliegt.