Hi,

ich würde gerne eure Meinung hören. Heute habe ich mit dem PureFTPd Manager (http://jeanmatthieu.free.fr/pureftpd/) PureFTPd als FTP-Server aufgesetzt. Er ist auch von außen zugänglich (DynDNS). Dabei habe ich anonyme Logins deaktiviert und nur einen einzigen (virtuellen) Benutzer eingerichtet, der sich nur in einem einzigen Verzeichnis bewegen kann (isoliert) und auch keinen Zugriff auf sonstige Dateien auf dem Server hat. Der Benutzer kann also nur in seinem "Sandkasten" Dateien hoch- und runterladen sowie neue Verzeichnisse darin erstellen. Alle anderen Benutzer (auch die unter OS X erstellten) dürfen sich nicht einloggen.

Für wie sicher haltet ihr das? Ich habe gehört, das Protokoll FTP ist an sich unsicher, aber trifft das auch für so ein Szenario zu (mal abgesehen davon, dass Login und Passwort im Klartext übertragen werden)?

Danke für eure Einschätzungen.

Wenn dein Passwort nicht besonders gut gewählt ist, kann hier ein simples BruteForcing auch durch kommen. Aber anonsten ist es einigermaßen sicher, jedoch würde ich dir eher zu ssh raten!

Bei FTP wird das Passwort nicht verschlüsselt. Man kann es mit einem einfachen Sniffer abfangen. Aber das weisst Du ja. Allerdigns ist SFTP sicher. Und MacOS X besitzt doch einen eingebauten SFTP Server.

Arachnid:

Selbst wenn der "Hacker" reinkommt, kann er ja nicht viel Schaden anrichten, oder? Ich habe auch noch Quotas gesetzt: max. 1000 Dateien, max. 1024 MB.

Christian Fries:

Ich verwende oft und gerne SSH, am liebsten einfach per Terminal und scp. Das Problem ist, dass Windows-Rechner kein OpenSSH (und auch kein PuTTY) standardmäßig installiert haben. Wenn ich also unterwegs bin, komme ich evtl. nicht schnell und einfach auf meinen Server, wohingegen ftp zumindest in der "Eingabeaufforderung" verfügbar ist.

Das Problem mit SFTP ist ähnlich: man muss Software nachinstallieren, ergo: einen FTP-Client, der auch SFTP kann.

Na cool, dann kann ich den Server ja so laufen lassen. Ein Restrisiko bleibt eh immer. Danke für die Einschätzungen und Infos.

SFTP ist nich sicher schon verschlüsselt. Das ist ein großer Unterschied.

Verschlüsselt: niemand kann das Passwort (einfach) ausspähen.

Sicher: Deine Kunden können nichts böses auf dem Rechner anstellen. Das schein mir durch deine Maßnahmen gewährleistet zu sein.