はじめまして。
現在、プライベートFTPサーバーを立てたいと思っているのですが、セキュリティ面が気になります。
SFTPまたはFTPSとの違いがよくわかりません。
どちらの方がセキュリティに強いのでしょうか?
そして、通信の内容はきちんと暗号化されているのでしょうか?
個人情報漏れというのが非常に不安です。
それから、SFTPまたはFTPSの場合はWindowsのExplorerやFFFTPからもSFTP、FTPSとして接続可能でしょうか?
素人で申し訳ないのですが、ご教授頂ければと思います。
よろしくお願いします。
> はじめまして。
> 現在、プライベートFTPサーバーを立てたいと思っているのですが、セキュリティ面が気になります。
> SFTPまたはFTPSとの違いがよくわかりません。
こういう話は、ググればおおむね答えは見つかりますよ!
SFTP:SSH File Transfer Protocol 、FTPS:FTP over SSL/TLSで全く異なるファイル転送の仕組み。
前者はSSHの機能、後者はFTPをSL/TLS上で動かすもので基本はあくまでFTPです。
> どちらの方がセキュリティに強いのでしょうか?
暗号化レベルより接続の認証方式が異なるので、そちら違いのほうが影響が大きいと思います。接続の認証で鍵方式を使うSFTPのほうが、FTPSより強固(アタック対策すれば同じ)といえるかもしれませんが、サーバデーモンによっては鍵認証もできるので一概には言えないので、調査が必要です。
但し、どちらも対応クライアントでないと使えないし、サーバもそれなりの物が必要。
> そして、通信の内容はきちんと暗号化されているのでしょうか?
何のためにSが付いているのか考えれば、こういう疑問が湧く意味が理解しかねますが、FTPSは、サーバとクライアントの設定しだいで制御コネクションとデータコネクションの暗号化の可否を選択できます。SFTPはSSHそのものなので、当然鼻から暗号化されています。
> 個人情報漏れというのが非常に不安です。
本当にそう思うならやめたほうがいいです。公開した時点で、かなりのアタックがあります。どんなにがんばってもバグがあってアタックされればおしまいなので。
> それから、SFTPまたはFTPSの場合はWindowsのExplorerやFFFTPからもSFTP、FTPSとして接続可能でしょうか?
これも、ググれば答えはあると思いますが? 簡易なクライアント(ブラウザやFFFTP等)では無理で、それに対応したクライアントが必要です。
回答ありがとうございます。
私が気になっているのは、認証というよりサーバに通信先からアップロード、ダウンロード中の通信内容が読み取られないかということが心配です。
認証については、アタックされることは予想しています。
ブルートフォースアタックされないようにユーザ名、パスワード共に20字ぐらいにしようと思っています。
パスワードについてはランダムな文字列でいいと思っています。
確信はないのですが長めでランダムな文字列がいいのではないかと思います。
それから、固定IPは取らないほうがセキュリティは上がりますか?
> 私が気になっているのは、認証というよりサーバに通信先からアップロード、ダウンロード中の通信内容が読み取られないかということが心配です。
前レスで言っているので通信内容は特にFTPSは設定を間違えなければ暗号化されていることはご理解いただいているとして、一般論としてですが、両端とも国内のISPなら内部犯行でもなければモニタすらできないのでそんなに心配する必要はありません。
ましてや、個人レベルのデータをモニタしたところで労多くして価値なしですから・・・。
> それから、固定IPは取らないほうがセキュリティは上がりますか?
スキャンしているので偶然キャッチされるだけなので、全く関係ないです。FTPやSSHのポートが開いていれば、日に数回はアクセスがあります。
しつこいのになる、延々アクセスを繰り返すのでCPU使用率は上がるは、ログはでるはでたまりません。
おやじは、FTPを開けているのでパスワードを3回エラーしたらそのIPからのアクセスはiptablesで遮断するようにしています。日に多いと3回ぐらいあります。
> 認証については、アタックされることは予想しています。
> ブルートフォースアタックされないようにユーザ名、パスワード共に20字ぐらいにしようと思っています。
> パスワードについてはランダムな文字列でいいと思っています。
> 確信はないのですが長めでランダムな文字列がいいのではないかと思います。
>
> それから、固定IPは取らないほうがセキュリティは上がりますか?
パスワードを長くするより、クライアントを制限するほうが有効です。
クライアントが固定IPならルーター等で。
固定IPじゃ無いなら逆引きのプロバイダードメインで
hosts.allow や limit login で設定すると良いです。
私は不特定クライアントですが全員国内なので
.jp .bbtec.net 一部のIPアドレスやローカル以外は制限しています。