Почему кто-то использует ftp?
Я новичок, так что, может быть, я что-то упустил. Зачем кому-то использовать ftp или telnet для администрирования сайта? Если они их используют, почему они удивляются, как их взломали? Разве не очевидно, что все это должно проходить через sftp, ssh или https? Или я просто параноик?
5 ответов
Правильный ответ где-то между размером базы установки FTP и Telnet и относительной сложностью SSH/SFTP. Каждый SSH-клиент, которого я знаю, выдает большое страшное предупреждение:
The authenticity of host 'example.com (10.0.0.1)' can't be established.
RSA key fingerprint is 17:cf:fb:1c:82:19:39:12:b1:76:a6:a1:8a:ff:34:75.
Are you sure you want to continue connecting (yes/no)?
Вместо более полезного:
You haven't connected to 'example.com (10.0.0.1)' before.
Please verify that its RSA key fingerprint is:
17:cf:fb:1c:82:19:39:12:b1:76:a6:a1:8a:ff:34:75
and if not, contact your network administrator for advice.
в то время как FTP-клиенты не выдают похожее предупреждение, так что только при наличии: FTP просто менее страшен.
Тем не менее, есть реальные причины, чтобы рассмотреть возможность использования FTP и Telnet, которые не мотивированы тем, что не знают:
FTP может быть быстрее
В доверенной, коммутируемой и управляемой сети существует небольшой риск перехвата пакетов, который также не требует компрометации корня. На моем основном dev-сервере SFTP достигает максимальной скорости 11 Мбит / с, тогда как FTP может достигать 70 Мбит / с.
Обратите внимание, что использование HPN-SSH почти так же быстро, как и FTP, поэтому, если вы не против заменить все ваши ssh-серверы, отслеживать обновления и объединять патч вручную (потому что он не применяется к текущему дереву SSH), он может быть лучший подход.
Существует не так много файлов, которые выиграли бы от увеличения скорости в 7 раз, которые также содержат привилегированные данные, но резервные копии являются одним из них. IPsec не представляет такой большой задержки, как SSH, поэтому туннелирование FTP через IPsec может быть разумным промежуточным путем.
Telnet может быть безопаснее
В системе, доступ к которой осуществляется только через доверенную, коммутируемую и управляемую сеть, существует небольшой риск перехвата пакетов, который также не подразумевает компрометацию корня, но размещение сервера ssh на маршрутизаторе может быть более рискованным, чем вы думаете.
Между тем, ssh-доступ к секретному серверу с последовательной консолью, для которого требуется блокировка портов, обеспечивает еще большую безопасность, и, скорее всего, вы сможете обеспечить его безопасность.
Некоторые:
- Legacy - ssh/sftp не всегда возможен
- Лень / Невежество
- Не все нужно защищать (например, загрузки Adobe Acrobat)
- Для telnet безопасность может быть обеспечена другим способом, например, инкапсуляцией IPSec.
Чистая чистая инерция. Пользователь не понимает, почему FTP такая плохая идея, поэтому он отказывается от любых попыток переместить их в нечто лучшее.
Люди все еще используют FTP/telnet по той же самой причине, по которой они все еще используют IE6. Установленные приложения имеют инерцию. Требуется усилие, чтобы измениться, и поэтому требуется время, чтобы заменить существующий способ ведения дел. Помните, что FTP/telnet>20 лет. Есть много существующих процедур и устройств, которые полагаются на них.
(Большинство) новые процедуры / устройства, которые создаются, используют более новые протоколы, а старые, которые не были обновлены, со временем истощатся.
РЕДАКТИРОВАТЬ: Telnet по-прежнему полезен в качестве средства отладки для проверки подключения к удаленным компьютерам.
telnet example.com 80
Незащищенным пользователям проще предоставить доступ по FTP, чем по SFTP. С SFTP вы должны предоставить им доступ по ssh, а затем отключить все, что они могут использовать, не связанное с FTP. С FTP они даже не должны быть настоящими пользователями (настоящими пользователями в ОС с домашней папкой и т. Д.). Есть также метод работы с FTP с SSL, но я всегда считал, что с SSL трудно справиться.
Это не значит, что FTP - хорошая идея, но я мог понять, почему администраторы все равно его настраивают.