读完后本教程我还有一个挥之不去的问题。
作者在文章开头说道:
警告:FTP 本质上是不安全的!考虑使用 SFTP 而不是 FTP。
我假设他可能指的是 FTPS(因为我认为这是他的文章所解释的,但我不确定)。
然而,在文章的底部,所有内容都是关于如何vsftpd通过 SSL/TLS 使用的,他显示了一个如下所示的图像:
您可以非常清楚地看到 Enctryption 是“需要通过 TLS 显式 FTP”。那么,这与使用有什么不同吗FTPS?如果有,有什么不同?
答案1
SFTPFTP事实上,它们是不同的协议。实际上是建立在Secure SHell 协议SFTP之上的,而-over- (又名)只是加密传输层连接上的普通协议,与加密连接上的IS相同。SSHFTPSSLFTPSFTPHTTPSHTTP
如果我没有记错的话,普通客户端可以FTP通过代理连接ssl到FTPS启用的服务器,或者FTPS客户端可以连接到FTP隐藏在ssl代理服务器后面的普通服务器。这同样不适用于SFTP;它必须在两个端点上实施。
我留给其他人讨论的相对优点,但是(据我所知)SSH/SFTP在小型网络上处理凭据要简单得多。
答案2
建立 FTPS 会话有两种方式:显式(也称为 FTPES)和隐式。
它们都完成相同的事情(基于 SSL 的 FTP),但在启动连接的方式上有所不同。
明确:客户端通过常规 FTP 连接连接到标准 FTP 端口 (21),然后客户端发送命令,请求将连接升级到 SSL,如果客户端请求,则允许连接回退到常规 FTP 会话。
隐式:客户端连接到默认端口 990,一旦客户端连接到服务器,就会建立 SSL 会话。
整个会话都是加密的,并且只允许 SSL 会话。
编辑:
如下图(来自:环球景观网)很好地说明了差异:
至于选择哪个,那就要看你的需求了。
请看下面两段摘录:
隐式和显式 FTPS 都提供相当级别的加密(假设使用显式 FTPS 您选择加密数据和控制通道的选项)。
从实用的角度来看,显式 FTPS 提供了一些优势,使其成为更好的选择。例如:
它是 FTPS 的标准受支持版本,并且将来更有可能得到广泛支持。它使用与普通 FTP 相同的端口,因此不需要额外的防火墙配置(假设您的防火墙已配置为普通 FTP)。
(来源:Robo-FTP 网页:)
隐式 FTPS 消耗大量网络带宽和计算资源,因为加密发生在命令和数据通道中。当用户想要将非机密文件上传到FTPS服务器时,将使用显式FTPS连接而不是隐式FTPS连接。
在显式FTPS中,客户端直接向FTPS服务器请求安全。这是一个可选请求。如果客户端不请求安全,则 FTPS 服务器可以允许客户端以不安全模式继续,或者拒绝或限制连接。
显式 FTPS 可用于仅要求保护命令通道(承载命令和用户身份验证)而不保护数据通道(承载非机密 FTP 数据)的场景。 21端口是FTP服务器与客户端通信的默认端口。这允许不安全的 FTP 和安全的 FTPS 客户端连接到 FTPS 服务器。
对于遵守联邦监管合规标准的组织,建议使用隐式 FTPS。
(来源:Serv-U 网页)