Ankündigung

Einklappen
Keine Ankündigung bisher.

SSH Key-Based Authentication für SFTP

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    SSH Key-Based Authentication für SFTP

    Hallo alle:

    Ich habe ein ManagedHosting 64 Basic ohne die SSH Option. Trotzdem kann man anscheinend SFTP verwenden, was eigentlich über SSH funktioniert.

    Man kann sogar mit SSHFS die Dateien mounten. Das Problem dabei ist, dass der SFTP-Zugriff extrem langsam funktioniert (zumindest heute). Wenn ich die Files mounte, dann bremst das manchmal meinen kompletten Desktop.

    Ich habe mir gedacht, dass ich die Webseiten (HTML-Dateien) erstmals lokal vorbereite, und dann nach jeder Änderung automatisch hochlade.

    Damit das reibungslos funktioniert, möchte ich auf SSH Key-Based Authentication umsteigen. Ansonsten will das Skript das FTP-Kennwort jedes Mal. Mann kann zwar das Eingeben des Kennworts irgendwie mit einem pipe automatisieren, aber es ist nicht schön. Mit SSH Keys ist alles sicherer und sauberer.

    Das Problem dabei ist, dass ich nicht weiß, wo ich die authorized_keys Datei dafür anlegen soll. Weil der "ManagedHosting 64 Basic" Tarif keine SSH Option hat, kann ich mich nicht über SSH anmelden, und gucken, welcher Ordner $HOME ist. Und das ist wohl sowieso anders für die unterschiedlichen FTP-Benutzernamen wie "123456-ftp".

    Wenn ich mit WebFTP gucke, sehen ich nur die Verzeichnisse "statistik" und "webseiten". Das sind keine offensichtlichen Orte, wo man eine authorized_keys Datei legen sollte.

    Kann jemand mir helfen?

    Danke im Voraus,
    rdiez

    #2
    Zitat von rdiez Beitrag anzeigen
    Wenn ich mit WebFTP gucke, sehen ich nur die Verzeichnisse "statistik" und "webseiten". Das sind keine offensichtlichen Orte, wo man eine authorized_keys Datei legen sollte.

    Kann jemand mir helfen?

    Danke im Voraus,
    rdiez
    Bei SSH liegen die im Regelfall unter /.ssh, wie auch hier beschrieben wird:



    Also wie Sie schon schreiben, ein Unterordner des Home-Verzeichnis. Bei SSH legen Sie das bei der Anlage des Account auch fest. Wie und ob es nun bei SFTP ohne Nutzung von SSH funktioniert, habe ich noch nicht ausprobiert. Sie können das natürlich gerne machen. Ggf. ist es Ihnen/der Firma jedoch auch die Investition von 2 €/Monat wert, was vermutlich 10 SSH Accounts kosten, dann sollte es in jedem Fall klappen

    Mit freundlichen Grüßen

    Nils Dornblut
    Blog - Facebook - Twitter
    Communitybetreiber: domainfactory GmbH
    Impressum / Pflichtangaben

    Kommentar


      #3
      Ich habe mir Gedacht, dass Sie eine Lösung mit zusätzlichen Kosten vorschlagen würden, oder dass ich die Arbeit selbst machen soll.

      Aus Kundensicht wäre nämlich besser, wenn DomainFactory die Prozedur für SFTP ordentlich dokumentiert. Das von Ihnen verlinkte Dokument deckt nur den normalen Fall mit der bezahlten SSH-Option. Ein Satz wie "bei SFTP geht authorized_keys nicht", wenn das stimmt, wäre ja auch Dokumentation.

      Aber irgendetwas ist in diesem Bereich inzwischen wohl passiert. Ich verwalte 2 Domäne bei DomainFactory. Eine ist älter, und hat wie erwähnt nur die Verzeichnisse "statistik" und "webseiten". Aber die andere ist neu, und ich habe mittlerweile mit WebFTP gesehen, dass neben "statistik" und "webseiten" auch Verzeichnise "logs" und ".ssh" automatisch erstellt wurden. Als Verzeichnis oben wird aber "/kunden/xxxxxx_yyyyy" angegeben. Die Nummer xxxxxx ist Teil vom FTP-Benutzerkonto (mit dem Format xxxxxx-ftp). Ich weiß nicht, woher das yyyyy Teil kommt.

      Es ist etwas seltsam, weil ich denke, "webseiten" wäre nicht nur für diesen einen FTP-Benutzer da, sondern für alle. Ich frage mich, ob der Verzeichnis ".ssh" dann mit allen FTP-Benutzern geteilt wird, oder ob es eine Kopie pro FTP-Benutzer gibt, und ob die "authorized_keys" Datei darin für SFTP funktioniert. Ich müsste es nachforschen, aber mir fehlt gerade die Zeit. Ich bin kein Web-Profi, und die Verwaltung bei DomainFactory hat sich als aufwendiger herausgestellt, als ich dachte.​

      Kommentar


        #4
        Zitat von rdiez Beitrag anzeigen
        Ich habe mir Gedacht, dass Sie eine Lösung mit zusätzlichen Kosten vorschlagen würden, oder dass ich die Arbeit selbst machen soll.
        Na ja, es handelt sich nicht um eine Funktionalität, die wir offiziell anbieten. Ich kann leider auch nicht alle Ideen erst einmal aus Zeitgründen vorab testen, sondern in solchen Fällen eher Tipps geben, was man probieren könnte. In dem Fall wäre das erforderlich, da mir keine Erfahrungswerte vorliegen. Mit SSH-Accounts geht ein Zugriff per SFTP. Das habe ich schon mal gemacht.

        Zitat von rdiez Beitrag anzeigen
        Aus Kundensicht wäre nämlich besser, wenn DomainFactory die Prozedur für SFTP ordentlich dokumentiert. Das von Ihnen verlinkte Dokument deckt nur den normalen Fall mit der bezahlten SSH-Option. Ein Satz wie "bei SFTP geht authorized_keys nicht", wenn das stimmt, wäre ja auch Dokumentation.
        Eben das kann ich nicht sicher sagen und es kommt auf einen Versuch an, wenn Sie den machen möchten. Was nicht geht möchten wir im Regelfall nicht dokumentieren, da es viele wenn und aber meist hat.

        Zitat von rdiez Beitrag anzeigen
        Aber irgendetwas ist in diesem Bereich inzwischen wohl passiert. Ich verwalte 2 Domäne bei DomainFactory. Eine ist älter, und hat wie erwähnt nur die Verzeichnisse "statistik" und "webseiten". Aber die andere ist neu, und ich habe mittlerweile mit WebFTP gesehen, dass neben "statistik" und "webseiten" auch Verzeichnise "logs" und ".ssh" automatisch erstellt wurden. Als Verzeichnis oben wird aber "/kunden/xxxxxx_yyyyy" angegeben. Die Nummer xxxxxx ist Teil vom FTP-Benutzerkonto (mit dem Format xxxxxx-ftp). Ich weiß nicht, woher das yyyyy Teil kommt.
        Es gibt ältere Tarife und neuere 64-Bit-Tarife. In neueren Tarifen gibt es andere Verzeichnisse, das ist richtig. In älteren Tarifen ist die Log-Funktionalität anders beispielsweise. YYYYY ist die Postleitzahl der Accountinhabers bei der Erstellung. XXXXXX die Auftragsnummer.

        Zitat von rdiez Beitrag anzeigen
        Es ist etwas seltsam, weil ich denke, "webseiten" wäre nicht nur für diesen einen FTP-Benutzer da, sondern für alle.
        Letztendlich ist das nur ein Verzeichnis. Sie können Domains und Subdomains auf dieses oder eben auch auf andere legen. Ein FTP-Benutzer bewegt sich immer innerhalb einer Quota und das Oberverzeichnis kann bei der Erstellung festgelegt werden.

        Was sind Quotas?
        • Quotas stellen Verzeichnis-Begrenzungen für Ordner dar, mittels welchen ein hohes Maß an Sicherheit gewährleistet werden kann. Verfügt ein Verzeichnis über eine Quota, können in diesem Verzeichnis liegende Skripte nur inner- und unterhalb dieses Ordners ausgeführt werden. Auf diese Weise kann wirksam verhindert werden, dass sich Angreifer bei Sicherheitslücken Zugriff auf Dateien verschaffen, die sich außerhalb eines Verzeichnisses befinden. Haben Sie beispielsweise Sicherheitsbedenken bei einer eingesetzten Software, so empfiehlt es sich, eine Quota für das jeweilige Installationsverzeichnis zu erstellen. Besteht in der Anwendung tatsächlich eine Sicherheitslücke und gelingt es einem Angreifer, sich durch diese Lücke Zugriff auf den Webspace zu verschaffen, so können lediglich die Daten innerhalb dieser Quota kompromittiert werden — ein Zugriff auf Daten außerhalb des Quota-Verzeichnisses ist nicht möglich!
        • Zusätzlich erfolgt mit Einrichten einer Quota eine Begrenzung des Speicherplatzes des jeweiligen Verzeichnisses. So kann einfach und wirksam ein „Überlaufen“ Ihres Haupt-Webspaces verhindert werden, da die quotierten Verzeichnisse lediglich über ein Ihrerseits festgelegtes Speicherplatz-Volumen verfügen.
        • Um per FTP auf ein quotiertes Verzeichnis zugreifen zu können, muss der Pfad des FTP-Accounts auf das quotierte Verzeichnis zeigen. Der Zugriff über einen FTP-Account, dessen Pfad auf ein Verzeichnis außerhalb der Quota zeigt, ist nicht möglich. Dies gilt auch für SSH-Accounts.
        Zitat von rdiez Beitrag anzeigen
        Ich frage mich, ob der Verzeichnis ".ssh" dann mit allen FTP-Benutzern geteilt wird, oder ob es eine Kopie pro FTP-Benutzer gibt, und ob die "authorized_keys" Datei darin für SFTP funktioniert. Ich müsste es nachforschen, aber mir fehlt gerade die Zeit. Ich bin kein Web-Profi, und die Verwaltung bei DomainFactory hat sich als aufwendiger herausgestellt, als ich dachte.​
        Ein SSH-Account liegt immer auf einer Quota und das ist dann auch das HOME-Verzeichnis. Daher ist dann klar, dass hier direkt auch das .ssh-Verzeichnis liegen muss. SFTP ist sozusagen ein abgesteckter SSH-Account und ich kann leider nicht genau sagen, ob es einen Weg gibt, SFTP auch ohne SSH Account zu nutzen, wenn man den SFTP-Account z. B. auf das HOME-Verzeichnis der Quota zeigen lässt und dort unter .ssh eine Datei mit entsprechendem Schlüssel hinterlegt ist und ob das dann mit Client-FTP-Programm xy funktioniert.

        Mit freundlichen Grüßen

        Nils Dornblut
        Blog - Facebook - Twitter
        Communitybetreiber: domainfactory GmbH
        Impressum / Pflichtangaben

        Kommentar

        Lädt...
        X