Jep. SFTP is gewoon SSH. En daardoor heb je ook de beschikking tot wat leuke features. Zo kun je bijvoorbeeld inloggen met een non-privileged account (ozzie) maar door een sudo-constructie toch bestanden van een privileged account (root) up/downloaden.
Of dat werkt is wel afhankelijk van je SFTP-client. WinSCP doet het in ieder geval goed (op CentOS overigens niet out of the box; je moet server-side en client-side een paar instellingen wijzigen).
Ah oke... ik dacht dat je bij WinSCP ook gewoon als root kon inloggen... maar ik weet het niet meer zeker.
Met de juiste instellingen je ook via WinSCP en root inloggen. Maar zoals al eerder gezegd, ik adviseer om root dicht te spijkeren, geen winscp, geen ftp, geen sftp, geen ssh. De reden is dat root brute force gekraakt kan worden. Maak een user ozzie aan en doe alles via ozzie. Om root te worden log je op ssh in met ozzie en eenmaal ingelogd doe je #su - en je wordt root (door het root password in te voeren). Zie Aar: maar dan PermitRootLogin voor SSH maar op NO
Ja, inderdaad... rootlogin moet je blokkeren, maar ik dacht ook dat is in WinSCP als root kon inloggen terwijl PermitRootLogin disabled was. Maar dan zal ik me wel vergissen.
FTP en SCP staan geheel los van elkaar, SCP verloopt via het SSH protocol en niet via FTP. WinSCP is gewoon een implementatie van SCP (over SSH) op windows clients.
Met de juiste instellingen je ook via WinSCP en root inloggen. Maar zoals al eerder gezegd, ik adviseer om root dicht te spijkeren, geen winscp, geen ftp, geen sftp, geen ssh. De reden is dat root brute force gekraakt kan worden.
Daar heb ik overigens ook wel iets leuks voor bedacht: scan elke twee minuten of zo in /var/log/security naar failed logins en zodra je een IP-adres tegenkomt dat teveel failed logins heeft gegenereerd, blokkeer je dat adres via iptables. Knappe jongen die in twee minuten je root-account kan brute-forcen. ;-) Op deze manier blokkeer ik zo'n 600 adressen per maand. Scheelt ook ettelijke megabytes aan failed login-regels in mijn security-log.
Overigens hou ik een centrale database aan en distribueer ik op die manier de blacklist over alle systemen. En uiteraard heb ik mezelf en een aantal andere IP-adressen op een whitelist gezet, omdat het wel erg lullig is als je jezelf van je eigen server afgooit.
Om root te worden log je op ssh in met ozzie en eenmaal ingelogd doe je #su - en je wordt root (door het root password in te voeren).
Zie mijn vorige post: dat kun je ook WinSCP laten regelen. Het is nodeloos omslachtig om eerst een bestand onder je eigen userid te uploaden en vervolgens via SSH in te moeten loggen op je server om de bestanden naar de juiste plaats te kopiëren. Als je dat vaak moet doen, ga je toch met de gedachte spelen om rootlogins toe te staan en dat is nu juist wat je niet moet willen.
[size=xsmall]Toevoeging op 28/09/2014 23:40:38:[/size]
Enneh... passwords zijn heel erg jaren '70. Tegenwoordig log je natuurlijk in middels SSH keys.
afhankelijk van je SFTP-client. WinSCP doet het in ieder geval goed (op CentOS overigens niet out of the box; je moet server-side en client-side een paar instellingen wijzigen).
Kan je wat meer tips geven over deze server-side en client-side instellingen?
