Zum Hauptinhalt springen

In letzter Zeit sind einige VOS- und OpenVOS-Kunden von der Verwendung des Standard-ftp-Clients (ftp.pm) auf den sicheren ftp-Client (sftp.pm) umgestiegen. Es gibt zwei Hauptgründe für die Verwendung von sftp gegenüber ftp. Erstens sendet sftp das Kennwort nie im Klartext; es ist immer verschlüsselt. Zweitens verschlüsselt sftp die Daten während der Übertragung. Es scheint jedoch, dass viele Kunden VOS-Befehlsmakros geschrieben haben, die eine "vorgefertigte" Benutzer-ID und ein Passwort an ftp übermittelten, und sie haben bemerkt, dass man zwar die Benutzer-ID an sftp vorgeben kann, es aber keine Möglichkeit gibt, das Passwort vorzugeben. Sie müssen warten, bis der sftp-Befehl nach dem Passwort fragt, das Sie dann über die Tastatur eingeben.

Dies ist ein Standardverfahren für sftp auf allen Betriebssystemen. Sie werden das Verhalten vielleicht zunächst nicht verstehen, aber sftp tut Ihnen damit einen Gefallen. Es liest das Kennwort absichtlich direkt aus dem Terminal und nicht aus "stdin". Die Autoren von sftp hielten es für eine schlechte Praxis, ein Kennwort in einer Datei oder einem Shell-Skript zu speichern; es ist höchst unsicher.

Glücklicherweise haben die Autoren von sftp eine großartige Lösung für dieses Problem gefunden. Sie haben die Benutzerauthentifizierung über einen öffentlichen Schlüsselmechanismus implementiert. Wenn Sie Ihren privaten Schlüssel in das Unterverzeichnis .ssh unter Ihrem Verzeichnis home auf dem Quellmodul (dem Rechner, auf dem Sie die Befehle sftp oder ssh verwenden) und Ihren öffentlichen Schlüssel in dasselbe Verzeichnis auf den Zielmodulen legen, können Sie sich anmelden (oder sftp verwenden), ohne jemals ein Passwort eingeben zu müssen.

Dies ist sicher, weil die Software vor der Verwendung Ihres privaten Schlüssels prüft, dass niemand Ihr Verzeichnis home ändern kann und dass niemand Dateien in Ihrem Unterverzeichnis .ssh lesen kann. Da sich immer nur Ihr öffentlicher Schlüssel auf einem entfernten Server befindet, gibt es auch dann kein Sicherheitsproblem, wenn der entfernte Server kompromittiert wird, da Ihr öffentlicher Schlüssel per Definition öffentlich ist; jeder kann ihn lesen. Ihr privater Schlüssel verbleibt immer auf Ihrem lokalen Rechner und wird niemals über das Netz übertragen. Dies ist eine wesentliche Eigenschaft des zugrunde liegenden SSH2-Protokolls. Die Computerleistung, die erforderlich ist, um dieses Protokoll zu knacken, übersteigt bei weitem das, was derzeit verfügbar ist. Das Protokoll ist selbst gegen jemanden sicher, der alle Pakete einsehen kann.

Machen Sie sich also keine Sorgen darüber, dass der Befehl sftp kein vollwertiger Ersatz für ftp ist. Nutzen Sie die Vorteile seiner verbesserten Sicherheit und genießen Sie gleichzeitig die verbesserte Benutzerfreundlichkeit. Schaffen Sie die statischen Passwörter ab und wechseln Sie zu öffentlichen/privaten Schlüsseln.

© 2024 Stratus Technologies.