[opgelost] FTP via internet benaderen

[tap]

Ik heb vandaag een server met ubuntu geinstalleerd.
Dit is allemaal naar wens gegaan en ik ben tevreden.

Op dit moment draait alles achter een router en is niet te benaderen vanaf het internet.
Dit is wel iets wat ik wil, maar dan natuurlijk veilig.

De makkelijkste manier lijkt mij om het e.e.a. te laten benaderen via ftp, op dit forum en elders heb ik gelezen
dat dit niet veilig is, in verband met het onversleuteld versturen van gebruikersnaam en wachtwoord.

Via een aantal links kom ik er niet uit, hoe ik dit moet aanpakken zodat ik secure via ftp vanaf internet kan inloggen op mijn server.

Iemand die een goede howto weet of het makkelijk kan uitleggen?

[testcees]

Heb je ook in de documentatie van Ubuntu-nl gekeken?
http://wiki.ubuntu-nl.org/NetwerkenEnServers

• OpenSSH server
• SFTP server met beperkte toegang opzetten

[tap]

testcees,

Bedankt voor je reactie.
Daar heb ik inderdaad gekeken, maar daar raak ik dus de weg kwijt.
Ik zie even door de bomen het bos niet.

Wat moet ik nu wel doen en niet. Vind de uitleg niet heel duidelijk.
Ik heb een ssh server draaien, ik log ook van mijn desktop in met putty via ssh op mijn server voor onderhoud.
Maar daarna is het mij een raadsel hoe ik het veilig moet maken om het van internet te benaderen.

Kun jij mij wat licht brengen?

[Rachid]

Wat moet ik nu wel doen en niet. Vind de uitleg niet heel duidelijk.
Ik heb een ssh server draaien, ik log ook van mijn desktop in met putty via ssh op mijn server voor onderhoud.

Je kunt nu ook met een (S)FTP client inloggen. Met dezelfde user. Dan kun je bestanden overzetten.
http://filezilla-project.org/ is mijn favo client (draait ook op windows). En WinSCP is volgens mij ook gratis te downloaden.
Als het alleen is voor eigengebruik, is het verder prima zo.

SFTP server met beperkte toegang opzetten

Dit artikel wordt interessant als je andere gebruikers toegang wilt geven tot jouw server.

[testcees]

Maar daarna is het mij een raadsel hoe ik het veilig moet maken om het van internet te benaderen.

Voor de duidelijkheid, je zal een poort op je router moeten openstellen om de ssh server vanaf internet te benaderen. Hoe dat moet is afhankelijk van je merk/type router.

Voor normaal gebruik volstaan de standaard instellingen. Voor extra beveiliging vanaf internet kan je gebruik maken van ssh-sleutels om in te loggen en de toegang via een wachtwoord afsluiten.

Een andere poort dan de standaard 22 gebruiken is wel een goede (ook nuttige) tip maar geeft niet echt meer veiligheid (lees: blijft onveilig).

Maak ssh sleutels aan op de client computer. Op een Ubuntu client computer kan dat met

Code: [Selecteer]

ssh-keygen -t dsa
Het publiek deel van de sleutel (.pub) moet je toevoegen aan bestand ~/.ssh/authorized_keys. Op een Ubuntu client computer kan dat met de opdracht (vanaf de client):

Code: [Selecteer]

ssh-copy-id naam@computernaam -i ~/.ssh/id_dsa.pub

Of gebruik je Windows op de client? Putty heeft hier tools voor en er zijn natuurlijk ook andere manieren om de sleutel (feitelijk een lange zin met cijfers en letters) aan ~/.ssh/authorized_keys toe te voegen.

Verder zou als extras de firewall kunnen instellen om de internettoegang te beperken op ip-adres, maar dat zou ook op de router mogelijk kunnen zijn,
http://wiki.ubuntu-nl.org/community/UbuntuFirewall

[Rachid]

Maar daarna is het mij een raadsel hoe ik het veilig moet maken om het van internet te benaderen.

Voor de duidelijkheid, je zal een poort op je router moeten openstellen om de ssh server vanaf internet te benaderen. Hoe dat moet is afhankelijk van je merk/type router.

Voor extra duidelijkheid. Dit is het enige dat moet.

De rest hoeft moet gezien je nog met een wachtwoord kunt inloggen.

[tap]

Bedankt voor de reacties, het is nu al laat, ga er morgen mee aan de slag.
Toch nog een snelle vraag, inloggen via SFTP is dat nu secure en is daarna ook de transfer secure?

De router is mij duidelijk dat ik die moet aanpassen.
Ik gebruik zowel een ubuntu laptop als een windows laptop om in te loggen, dus daar moet ik even verder naar kijken.

[testcees]

Voor extra duidelijkheid. Dit is het enige dat moet.

+1

Je kan het ook "onveilig" houden door een goed wachtwoord te kiezen:
http://nl.wikipedia.org/wiki/Wachtwoord

De kans dat iemand je wachtwoord (geen test123, qwerty456, of familienaam789) raad kan je heel klein maken!

Voor de duidelijkheid: de ssh verbinding zelf is ook met een zwak wachtwoord gewoon veilig. Er is dan alleen een (kleine?) kans op ongewenste toegang.

Ik kies voor een ssh-sleutel maar ieder kiest zelf.

[Rachid]

Toch nog een snelle vraag, inloggen via SFTP is dat nu secure en is daarna ook de transfer secure?

Ja, alle communicatie gebeurt over een beveiligde verbinding. Dus als iemand zit mee te luisteren ziet hij alleen troep voorbij komen.

Ik gebruik zowel een ubuntu laptop als een windows laptop om in te loggen, dus daar moet ik even verder naar kijken.

Zoals ik zei: http://filezilla-project.org/ is een grafische (S)FTP client (draait ook op windows).
Om dit op ubuntu te installeren doe je: sudo apt-get install filezilla

Succes ermee!

[tap]

Testcees en Wazzzaaa,

Bedankt voor de hulp tot nu toe.
Ik gebruik filezilla en ik heb anoymous uitgezet in proftpd uitgezet.
Ik ben van plan om een ander poort nummer te selecteren voor de router.
Ik heb tevens een sterk wachtwoord gekozen, dus daar heb ik ook vertrouwen in.

Waar ik niet snap is het verhaal over de sleutels.
Alle handelingen zijn op de client gebasseerd volgens de uitleg van testcees.
Hoe stel ik de server in? Wat is het voordeel?

[testcees]

ik heb anoymous uitgezet in proftpd uitgezet.

De genoemde wiki artikelen gaan niet uit van proftpd, maar van openssh-server.

[vanadium]

Met de sleutels maak je op je eigen systeem een private en een publieke sleutel aan. De publieke sleutel wordt gekopieerd naar de server. Bij het inloggen hoef je geen paswoord te genen: automatisch wordt gecontroleerd of de publieke sleutel die de server heeft, overeenkomt met jou private sleutel. Voordelen:
1) Handig inloggen: geen vraag voor paswoord
2) Bijzonder veilig: als je paswoordtoegang uitzet, kan een brute hacker op geen enkele manier inloggen. Je moet namelijk de private sleutel hebben hiervoor. Die zullen ze eerst s'nachts bij jou thuis moeten halen vanaf je PC

[tap]

Sorry, maar ik ben het spoor weer bijster.

Als ik verbinding maak met Putty en ssh selecteer dan wordt ik niet gevraagd om een wachtwoord.
Het enige wachtwoord wat wordt  gevraagd is het wachtwoord van de server. Maar dat lijkt me logisch.
Of zie ik dingen nu niet goed?

Als ik in filezilla contact zoek met de server met de optie SFTP wordt er ook geen passwd gevraagd anders dan het passwd wat nodig is voor de proftpd. Haal ik nu dingen door elkaar. Kan ik het zelfde bereiken wat ik wil, namelijk up en downloaden via Filezilla met alleen maar ssh?

[tap]

Okay, het verhaal over sftp en ftp verschil is mij nu duidelijk.
Ik heb veel meer rechten als ik via SFTP inlog. Dus SFTP maakt geen gebruik van FTP, beetje verwarrend.

Moet ik nu maar eens even gaan klooien met de pub keys, etc.
Ik hou jullie op de hoogte.

[Rachid]

Laat dat met die pub keys ff zitten. Dat is niet zo belangrijk. Dat is alleen voor extra veiligheid.

Als je in Filezilla SFTP kiest (of FTP over SSH) kun je inloggen met je gewone username/wachtwoord. (dus waar je ook mee inlogt via PUTTY).
Verder hoef je niets te doen. Dus als je via putty al kunt inloggen. Dan kun je Filezilla gebruiken om bestanden over te zetten.
Als het alleen voor eigengebruik is, ben je nu klaar. Pas als je anderen toegang tot jouw computer/server wilt verlenen wordt dat FTP/SFTP server interessant.

[tap]

Okay bedankt voor de tip over de pub keys.
Het is inderdaad eigenlijk alleen voor eigen gebruik.
Dus als ik nu nog een hoge poort kies en die in de router naar de server laat verwijzen, zou ik klaar moeten zijn?

[tap]

Iedereen bedankt voor de hulp. Ik heb het nu ingericht zoals ik denk dat het goed is.
Nog even een goede monitoring inrichten en dan gaan we maar aankoppelen op het internet.