Zum Inhalt springen

FAQ

Wie richte ich SFTP Zugriff für alle Benutzer ein?

In der Standard-Konfiguration unserer Managed-Root Serversysteme kann sich aus Sicherheitsgründen nur der Benutzer admin über SFTP einloggen. Alle anderen ftp-Benutzer können nur FTPS (FTP explizit TLS/SSL) verwenden. Wenn man allerdings aufgrund einer bestehenden Infrastruktur nicht FTPS nutzen kann und trotzdem verschlüsselt senden/empfangen möchte, kann die Konfiguration des FTP-Servers proFTPd angepasst werden.

Die Einrichtung

Zuerst loggen wir uns als Benutzer admin per ssh auf der Kommandozeile ein. Windows-Anwendern steht hierzu der ssh-Client PuTTY von putty.org zur Verfügung. MacOS- und Linux-Anwender haben hierfür auf Ihrem System bereits ein Terminal installiert.

Wenn wir eingeloggt sind, benutzen wir den Text-Editor pico, um die Konfigurationsdatei des FTP-Dienstes proftpd zu öffnen:

sudo pico -w /etc/proftpd.conf

Mit den folgenden Tastenkombinationen gehen wir jetzt mit dem Cursor an das untere Ende der Datei 

STRG-W, STRG-V

Hier fügen wir den folgenden Block ein

LoadModule mod_sftp.c
<IfModule mod_sftp.c>
<VirtualHost 83.138.XX.XXX>
TLSEngine off
SFTPEngine on
Port 2222
SFTPLog /var/log/proftpd_sftp.log
# Configure both the RSA and DSA host keys
SFTPHostKey /etc/proftpd/ssh_host_ecdsa_key
SFTPHostKey /etc/proftpd/ssh_host_dsa_key
DefaultRoot ~
SFTPCompression delayed
SFTPDigests hmac-md5 hmac-sha1 hmac-sha2-256 hmac-sha2-512 \
            hmac-ripemd160 hmac-sha1-96 hmac-md5-96
</VirtualHost>
</IfModule>

In der 3. Zeile

  <VirtualHost 83.138.XX.XXX>

muss natürlich noch die IP-Adresse 83.138.XX.XXX durch die des eigenen Servers ersetzt werden.

Zum Schluss speichern wir die Datei und beenden pico mit:

STRG-O, STRG-X

Passende keys erstellen

Die in der neuen config genutzen keys müssen jedoch erst neu erstellt werden. Hierzu geben wir über die SSH console folgendes ein:

ssh-keygen -f /etc/proftpd/ssh_host_ecdsa_key -t ecdsa -N '' -m PEM

ssh-keygen -f /etc/proftpd/ssh_host_rsa_key -t rsa -N '' -m PEM

 

Setup aktivieren

Um alle Änderungen zu aktivieren, müssen wir noch den FTP-Server mit folgendem Befehl neustarten:

sudo service proftpd restart

 

Zugriff zum Server

Die Benutzer können nun per SFTP auf den Server zugreifen, jedoch muss im Client der Port 2222 explizit ausgewählt werden.

Der (default) Port 22 wird noch immer vom SSHD Daemon genutzt und akzeptiert – wie oben beschrieben – keine Zugriffe von einem anderen Benutzer als admin.

 

 

 


Zurück

Sie brauchen Hilfe?

0421 4089-000