---

Hej
Jeg står over for at skulle etablere en ftp-server til en forening, hvor medlemmer kan hente materialer m.m. Jeg har læst
andetsteds her i gruppen at i hvert fald en gammel version af wu-ftpd har et sikkerhedshul. Er der nogen der kan anbefale et
bestemt ftp-program til linux (jeg har læst at der også skulle findes et der hedder proftpd)? Og er der nogen bestemte ting man
skal være opmærksom på hvis man gerne vil sikre sig mod at uvedkommende trænger ind?

Mvh. Lars Kramer

---

Lars wrote:

> Hej
> Jeg står over for at skulle etablere en ftp-server til en forening, hvor medlemmer kan hente materialer m.m. Jeg har læst
> andetsteds her i gruppen at i hvert fald en gammel version af wu-ftpd har et sikkerhedshul. Er der nogen der kan anbefale et
> bestemt ftp-program til linux (jeg har læst at der også skulle findes et der hedder proftpd)? Og er der nogen bestemte ting man
> skal være opmærksom på hvis man gerne vil sikre sig mod at uvedkommende trænger ind?


Konfigurer det rigtigt, og opdatere softwaren når sikkerhedsproblemer
bliver løst, følg med i hvad der sker, forstå sikkerhedsproblematikkerne
ved den givet applikation, ectetera.

Hvis du virkelig skal bruge en sikker ftp service, kan følgende
anbefaldes, dog kan filer ikke uploades og der er ikke implementeret
noget rigtigt bruger begreb:

http://cr.yp.to/publicfile/ftpd.html

---

> Konfigurer det rigtigt, og opdatere softwaren når sikkerhedsproblemer
> bliver løst, følg med i hvad der sker, forstå sikkerhedsproblematikkerne
> ved den givet applikation, ectetera.

OK, tak for rådene. Jeg har den nyeste version af Redhat, hvor der en update-service, som automatisk meddeler en når der er nye
updates af ens programmer, og det er jo meget smart. Så skal man bare selv sørge for at det er de rigtige programmer man bruger,
og at konfigurationen er optimal.

Mvh. Lars

---

Lars <lars_kramer@hotmail.com> wrote:
> Hej
> Jeg står over for at skulle etablere en ftp-server til en forening,
> hvor medlemmer kan hente materialer m.m.

Har du virkeligt brug for en FTP server, eller har du blot brug for at
give disse brugere adgang til filer? HTTP virker i flere situationer og
har ofte flere og bedre former for adgangskontrol end FTP har.

> Og er der nogen bestemte ting man skal være opmærksom på hvis man
> gerne vil sikre sig mod at uvedkommende trænger ind?

Se dk.edb.sikkerhed's OSS som har et (kort) afsnit om servere:

   http://a.area51.dk/sikkerhed/servere

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

> Har du virkeligt brug for en FTP server, eller har du blot brug for at
> give disse brugere adgang til filer? HTTP virker i flere situationer og
> har ofte flere og bedre former for adgangskontrol end FTP har.

Godt spørgsmål. Jeg har brug for at folk ind imellem kan uploade filer, men det er naturligvis mest den anden vej. Så jeg kan se
din pointe. Det må jeg overveje.
>
> > Og er der nogen bestemte ting man skal være opmærksom på hvis man
> > gerne vil sikre sig mod at uvedkommende trænger ind?
>
> Se dk.edb.sikkerhed's OSS som har et (kort) afsnit om servere:
>
> http://a.area51.dk/sikkerhed/servere

Tak for linket. Det er virkelig en højere videnskab det med sikkerhed!

Mvh. Lars

---

Hej Lars.

FTP er pr. definition en usikker protokol da username og password sendes i
klar tekst mellem bruger og server. Ønsker du sikker kommunikation bør du
nok se nærmere på SFTP, som kommer sammen med openssh på din linux box, dog
kræver dette at brugerne i den anden ende er i besiddelse af en SFTP klient
til at hente og sende filer fra dig, denne findes både som freeware,
shareware og "pay through your nose" ware. Putty har en freeware SFTP klient
der oven i købet understøtter SSH certifikater (meget sikker
authentification). Og såfremt du ikke skal bruge det forretningsmæssigt
(eller er villig til at betale en lille sum) kan du hente nogle langt mere
professionelle versioner fra bl.a. www.ssh.com.

Håber det hjælper.

"Lars" <lars_kramer@hotmail.com> wrote in message
news:CUrp8.6114$iY5.220587@news010.worldonline.dk...
> Hej
> Jeg står over for at skulle etablere en ftp-server til en forening, hvor
medlemmer kan hente materialer m.m. Jeg har læst
> andetsteds her i gruppen at i hvert fald en gammel version af wu-ftpd har
et sikkerhedshul. Er der nogen der kan anbefale et
> bestemt ftp-program til linux (jeg har læst at der også skulle findes et
der hedder proftpd)? Og er der nogen bestemte ting man
> skal være opmærksom på hvis man gerne vil sikre sig mod at uvedkommende
trænger ind?
>
> Mvh. Lars Kramer
>
>

---

Kenneth Plettner <kenneth@plettner.dk> wrote:
> Putty har en freeware SFTP klient der oven i købet understøtter SSH
> certifikater (meget sikker authentification).

SSH bruger noegler, ikke certifikater. Der er en forskel.

> Og såfremt du ikke skal bruge det forretningsmæssigt (eller er villig
> til at betale en lille sum) kan du hente nogle langt mere
> professionelle versioner fra bl.a. www.ssh.com.

Naar du siger "professionel" mener du saa "SSH.com saelger deres
produkter for penge" eller "SSH.com leverer fremragende kvalitet"?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Hej Alex.

Du har ret, jeg sad lige i en strøm af navneforvirring, efter at have sunget
og danset om Apache lige før denne :) - Nøgler selvfølgelig.

-------------

SSH.com har et kanon SSH produkt! - dog er det påhæftet med
licensbetingelser der foreskriver, at såfremt dette skal benyttes til
kommercielt brug skal man op med tegnebogen - dette er ikke hvad mange
vælger, hvorfor produkter som Putty står som alternativer, på trods af et
væsentligt dårligere interface.

Så med hensyn til SSH.com må svaret vel være begge dele.


"Alex Holst" <a@area51.dk> wrote in message
news:slrnaacoo0.1fcg.a@C-Tower.Area51.DK...
> Kenneth Plettner <kenneth@plettner.dk> wrote:
> > Putty har en freeware SFTP klient der oven i købet understøtter SSH
> > certifikater (meget sikker authentification).
>
> SSH bruger noegler, ikke certifikater. Der er en forskel.
>
> > Og såfremt du ikke skal bruge det forretningsmæssigt (eller er villig
> > til at betale en lille sum) kan du hente nogle langt mere
> > professionelle versioner fra bl.a. www.ssh.com.
>
> Naar du siger "professionel" mener du saa "SSH.com saelger deres
> produkter for penge" eller "SSH.com leverer fremragende kvalitet"?
>
> --
> I prefer the dark of the night, after midnight and before four-thirty,
> when it's more bare, more hollow. http://a.area51.dk/
>

---

> FTP er pr. definition en usikker protokol da username og password sendes i
> klar tekst mellem bruger og server. Ønsker du sikker kommunikation bør du
> nok se nærmere på SFTP, som kommer sammen med openssh på din linux box, dog
> kræver dette at brugerne i den anden ende er i besiddelse af en SFTP klient
> til at hente og sende filer fra dig, denne findes både som freeware,
> shareware og "pay through your nose" ware. Putty har en freeware SFTP klient
> der oven i købet understøtter SSH certifikater (meget sikker
> authentification). Og såfremt du ikke skal bruge det forretningsmæssigt
> (eller er villig til at betale en lille sum) kan du hente nogle langt mere
> professionelle versioner fra bl.a. www.ssh.com.

Hej Kenneth

Tak for hjælpen. Det ser spændende ud. Jeg kender godt Puttys SSH-klient da jeg allerede bruger den i forbindelse med mit
uddannelsessted, men jeg vidste ikke at de også havde en SFTP-klient, eller i det hele taget at der var noget der hed SFTP! Nu har
jeg været inde på både Puttys hjemmeside og ssh.com, og det ser interessant ud. Vi skal ikke bruge det kommercielt, så det er da
oplagt en mulighed at bruge i hvert fald klientsoftwaren fra SSH, da de som I skriver, har et godt grafisk brugerinterface.
Hvordan med serverprogrammet, tror du det er ligemeget rent sikkerhedsmæssigt om man bruger det fra openssh, eller det fra
ssh.com?

Mvh. Lars