La meilleure façon de mettre un serveur SFTP solution?
Je suis actuellement en train de mettre en place un commercial serveur SFTP et je suis juste à la recherche pour certains de vos avis sur le set-up, je suis en cours de réflexion de la mise en œuvre, ainsi qu'une recommandation à ce que commerciale Secure FTP server logiciel serait le mieux pour répondre. Gardez à l'esprit que les données dont je suis responsable est très sensible pour tout les commentaires sont très appréciés.
Voici le scénario:
1) Avant d'upload de fichier, les fichiers sont compressés & cryptées en utilisant AES 256 avec un sel.
2) les Fichiers téléchargés à partir de la clients serveur SFTP (port 22) à notre serveur SFTP.
3) les Fichiers sont ensuite téléchargé sur HTTPS par notre client à l'aide d'un mot de passe (vérification de forte 10 caractères alphanumériques mot de passe)
Les spécificités de la mise en œuvre, je suis en train de penser sont:
Pour la partie (2) ci-dessus, la connexion est ouverte à l'aide de la clé d'hôte correspondant, l'authentification par clé publique et un nom d'utilisateur/mot de passe. Le pare-feu des deux côtés est limitée à seulement permettre l'adresse IP statique du serveur client pour se connecter.
Pour la partie (3), le client est fourni avec un nom d'utilisateur/mot de passe sur une base par utilisateur (pour vérification) de se connecter à leur emprisonné compte sur le serveur. le cryptage de mot de passe pour le fichier lui-même est fourni sur un fichier par fichier, donc j'essaye d'appliquer les deux modes de chiffrement à tout moment ici (sauf lorsque les fichiers sont au repos sur le serveur).
Le long avec des pare-feu sur les deux côtés, de contrôle d'Accès sur le serveur SFTP sera configuré pour bloquer les adresses IP avec un certain nombre de tentatives infructueuses au cours d'une courte période de temps, les mots de passe non valide tentatives de verrouiller les utilisateurs, les stratégies de mot de passe sera mis en œuvre, etc.
J'aime à penser que j'ai couvert autant que possible, mais j'aimerais entendre ce que vous pensez de cette mise en œuvre?
Pour le serveur commercial côté des choses, j'ai rétréci vers le bas à GloalSCAPE SFTP w/SSH & module HTTP ou JSCAPE Secure FTP server - je vais être en train d'évaluer la pertinence de chaque cours du week-end, mais si vous avez une quelconque expérience avec soit je serais ravi de les entendre à ce sujet également.
- Pas vraiment une programmation connexe. Puis-je suggérer à certains lieux alternatifs pour demander: stackoverflow.com/questions/321618/...
Vous devez vous connecter pour publier un commentaire.
Puisque les données sont à la fois importantes et les plus sensibles de vos clients perspectives, je vous suggère de consulter un professionnel de la sécurité. Solutions locales sont généralement une combinaison de plus - et underkill, résultant dans les mécanismes qui sont à la fois inefficaces et dangereux. Considérer:
Les fichiers sont pré-crypté, donc le seul gain de SFTP/HTTPS est le chiffrement de la session elle-même (par exemple de connexion), mais...
Vous êtes en utilisant l'ICP pour le téléchargement et le bureau du procureur pour le téléchargement, donc il n'y a pas de risque d'exposer les mots de passe, uniquement Id utilisateur, est-ce important pour vous?
Comment allez-vous transmettre les mots de passe? C'est la transmission sécurisée?
Gardez à l'esprit que tout de verrouillage du système devrait être temporaire, sinon, un pirate peut désactiver tout le système de verrouillage de chaque compte.
Questions à vous poser:
Une fois que vous avez répondu à ces questions, vous aurez une meilleure idée de la mise en œuvre.
En général:
Autant que des utilitaires disponibles, de nombreux hors-the-shelf paquets sont à la fois sûr et facile à utiliser. Regarder dans OpenSSH, OpenVPN, et vsftp pour commencer.
Bonne chance - s'il vous plaît laissez-nous savoir ce que la méthode que vous choisissez!
Quel est donc le problème avec OpenSSH qui est livré avec Linux et les Bsd?
Cette partie anneaux d'alarme...avez-vous écrit un code pour ce faire, de chiffrement et de compression? Comment faites-vous les clés de la gestion? Vous aussi vous dire que votre clé est dérivée du mot de passe, de sorte que votre utilisation de l'AES 256 et le sel est de vous donner un faux sentiment de sécurité - votre clé réel de l'espace est beaucoup moins. Aussi l'utilisation du terme " sel " est inapproprié ici, ce qui suggère que les faiblesses.
Vous feriez mieux d'utiliser un bien éprouvée de mise en œuvre (par exemple, quelque chose comme PGP ou GPG).
Aussi, si vous utilisez PGP style de chiffrement à clé publique pour le fichier lui-même (et décent de gestion de clés), la sécurité de votre serveur SFTP importe beaucoup moins. Vos fichiers peuvent être cryptées au repos.
L'argument de la sécurité du reste du système est très alambiqué (beaucoup de protocoles, systèmes d'authentification et de contrôle) - il serait beaucoup plus facile à sécuriser le fichier robuste, ensuite faire de meilleures pratiques pour le reste (qui n'aura d'importance beaucoup moins et également des contrôles indépendants).