Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Webspace: Sicherheitsrisiko FTP

SSH

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. SSH

    Autor: gaelic 04.03.14 - 10:59

    Alles außer SSH gehört verbannt bzw. sollte zwangsweise per SSH stattfinden (siehe rsync oder sftp).

  2. Re: SSH

    Autor: TheUnichi 04.03.14 - 11:25

    gaelic schrieb:
    --------------------------------------------------------------------------------
    > Alles außer SSH gehört verbannt bzw. sollte zwangsweise per SSH stattfinden
    > (siehe rsync oder sftp).

    Damit ich zukünftig 12 statt 3 Stunden brauche, um ein halbes Tera auf meine Server zu schieben?

    Na ein Glück, dass du nichts zu sagen hast in dieser Welt...

  3. Re: SSH

    Autor: gaelic 04.03.14 - 11:32

    Wie kommst du auf die Idee daß es durch ssh langsamer wird?

  4. Re: SSH

    Autor: myxter 04.03.14 - 11:34

    Komprimierung (optional) und Verschlüsselung.
    Merkt man aber nur wenn langsame CPUs dabei sind.. finde ich zumindest



    1 mal bearbeitet, zuletzt am 04.03.14 11:34 durch myxter.

  5. Re: SSH

    Autor: Chorris 04.03.14 - 11:44

    Da wir hier in DE eher das Problem haben das der Upload kriecht, machen es Komprimierung und Verschlüsselung nun echt nicht Fett. Wenn ich meine 6 Mbit upload voll ausreize liefert selbst ein lahmer Singlecore noch mehr Output als meine Leitung hoch schiebt (wenns jetzt grade ne uralt CPU von 1999 ist).

    Gut, wenn man im RZ sitzt und 50 Mbit, 100 Mbit oder mehr zur Hand hat sieht die Welt wieder anders aus.

  6. Re: SSH

    Autor: frostbitten king 04.03.14 - 11:44

    Keine Ahnung warum genau, aber es wird verflucht langsam verglichen mit zb. nfs. Hab das mal in meinem lokalen Netzwerk verglichen.

  7. Re: SSH

    Autor: maerchen 04.03.14 - 11:45

    Die Frage ist, wie ein Angreifer an das Passwort kommt. Meist wird es eher Brute Force oder Fishing sein, denn auch wenn FTP unverschlüsselt losgeschickt wird, müsste man sich ja erst einmal in die Kommunikation schalten.

    Sollte der Worst-Case dann erst einmal eingetreten sein, verliere ich gefühlt lieber einen FTP-Zugriff (reiner Datentransfer), als einen SSH-Zugang mit Shell-Zugriff. FTP lässt sich zudem einfacher auf bestimmte Unterverzeichnisse eingrenzen, was bei SSH teils schwierig zu konfigurieren ist. Das beste wird wohl FTPS sein, wenn es nur um Datentransfer geht.

  8. Re: SSH

    Autor: gaelic 04.03.14 - 11:45

    Eben. Auf einem RaspberryPI merkt man vielleicht etwas.

  9. Re: SSH

    Autor: gaelic 04.03.14 - 11:47

    Ähm. SFTP == SSH. Bzw. muss ich einem User keine Shell Rechte geben.

    edit: typo ftps sftp



    1 mal bearbeitet, zuletzt am 04.03.14 11:51 durch gaelic.

  10. Re: SSH

    Autor: trolling3r 04.03.14 - 11:49

    Artikel nicht gelesen?
    FTPS ist eben nicht S(SH)FTP

  11. Re: SSH

    Autor: gaelic 04.03.14 - 11:52

    nicht trollen. war ein typo.

  12. Re: SSH

    Autor: myxter 04.03.14 - 12:39

    Eben Letzteres ist bei mir der Fall ;) Aber das merkt man zwischen i7 und i7 nicht wirklich

  13. Re: SSH

    Autor: gaelic 04.03.14 - 13:31

    Gut. Beim Raspi ein Argument.
    Aber im internen Netzwerk wenn man fix nfs mounted ist es sowieso ein komplett anderes Szenario und Sicherheit in diesem Sinne nicht so umzusetzen wie bei der Datenübertragung über fremde Leitungen.

  14. Re: SSH

    Autor: Baron Münchhausen. 04.03.14 - 15:01

    gaelic schrieb:
    --------------------------------------------------------------------------------
    > Alles außer SSH gehört verbannt bzw. sollte zwangsweise per SSH stattfinden
    > (siehe rsync oder sftp).

    Ja dann ab an die Realisierung dieser Forderung bei Webspace Produkten.
    Die einzige realistische Lösung für Webspace wäre zumindestens FTP mit TLS.

    Da Webspace Produkte keine eigene IP-Adresse haben wird es mit einem SSL Zertifikat problematisch. Mal abgesehen, dass ein SSL-Zertifikat für ein low Budget Webspace zu kaufen - würde es gehen - sich für den Kunden nicht lohnt.

    Eine Lösung gibt es dennoch. Der Hoster kann, wie es auch viele schon machen, ein SSL Zertifikat für generische Domains kaufen (1 pro Server mit X Webspace Produkten reicht!) und den Kunden die TLS gesicherte Domain bekannt geben. So könnten Sie diese für FTP via TLS nutzen.

    Bei allen andere MANAGED Lösungen und Produkte, bei dennen SSH möglich/realistisch ist sollte auch SSH file transfer und optional FTP via TLS möglich sein (bei root Server entscheidet man selber, wie man es haben will :D)



    1 mal bearbeitet, zuletzt am 04.03.14 15:02 durch Baron Münchhausen..

  15. Re: SSH

    Autor: tibrob 04.03.14 - 15:08

    maerchen schrieb:
    --------------------------------------------------------------------------------
    > Die Frage ist, wie ein Angreifer an das Passwort kommt. Meist wird es eher
    > Brute Force oder Fishing sein, denn auch wenn FTP unverschlüsselt
    > losgeschickt wird, müsste man sich ja erst einmal in die Kommunikation
    > schalten.
    >
    > Sollte der Worst-Case dann erst einmal eingetreten sein, verliere ich
    > gefühlt lieber einen FTP-Zugriff (reiner Datentransfer), als einen
    > SSH-Zugang mit Shell-Zugriff. FTP lässt sich zudem einfacher auf bestimmte
    > Unterverzeichnisse eingrenzen, was bei SSH teils schwierig zu konfigurieren
    > ist. Das beste wird wohl FTPS sein, wenn es nur um Datentransfer geht.

    Reiner Datentransfer? Was hindert den "Angreifer" daran, ein Script hochzuladen und dann bequem aufzurufen ... bspw. um ein DB-Dump erstellen oder im einfachsten Fall bei PHP im Code ein sendmail hinzufügen, was dir bequem die Zugangsdaten bei jeder Anmeldung per Email zusendet, Textfile ablegt oder sonstwas?

    Mit dem Verlust des "nur" FTP-Zugriffs hast du ein gewaltiges Sicherheitsproblem ... und der Weg zum Root ist in vielen Fällen nicht mehr weit, auch wenn man ihn nicht mal mehr braucht, wenn man es z.B. nur auf Datendiebstahl abgesehen hat.

    Deine Jacke ist jetzt trocken!

  16. Re: SSH

    Autor: hjp 04.03.14 - 16:07

    TheUnichi schrieb:
    --------------------------------------------------------------------------------
    > gaelic schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Alles außer SSH gehört verbannt bzw. sollte zwangsweise per SSH
    > > stattfinden (siehe rsync oder sftp).
    >
    > Damit ich zukünftig 12 statt 3 Stunden brauche, um ein halbes Tera auf
    > meine Server zu schieben?

    500 GB / 10000 s = 50 MB/s == 400 Mbit/s (plus Overhead).

    Du hast über 400 Mbit/s Upload-Rate zu Deinen Servern? Beneidenswert (außer die Server sind im gleichen Haus, aber davon ist hier nicht die Rede), aber wohl kaum der Normalfall. Und auch nicht wirklich ein Problem: Bis zu 800 Mbit/s habe ich mit AES-128 über SSH schon mit einem Core2Duo geschafft, mit RC4 (nicht empfehlenswert, aber immer noch viel besser als unverschlüsselt) deutlich über 1 Gbit/s. Das Performance-Argument zieht also nicht.

  17. Re: SSH

    Autor: slashwalker 04.03.14 - 20:00

    Also mein Server hat auch kein FTP, nur SFTP über Key. Ich merke bei meiner DSL 16000 keinen großen Unterschied im Upload.

  18. Re: SSH

    Autor: kitingChris 04.03.14 - 23:10

    maerchen schrieb:
    --------------------------------------------------------------------------------
    > Die Frage ist, wie ein Angreifer an das Passwort kommt. Meist wird es eher
    > Brute Force oder Fishing sein, denn auch wenn FTP unverschlüsselt
    > losgeschickt wird, müsste man sich ja erst einmal in die Kommunikation
    > schalten.
    >
    > Sollte der Worst-Case dann erst einmal eingetreten sein, verliere ich
    > gefühlt lieber einen FTP-Zugriff (reiner Datentransfer), als einen
    > SSH-Zugang mit Shell-Zugriff. FTP lässt sich zudem einfacher auf bestimmte
    > Unterverzeichnisse eingrenzen, was bei SSH teils schwierig zu konfigurieren
    > ist. Das beste wird wohl FTPS sein, wenn es nur um Datentransfer geht.

    Du hast keine Ahnung vom SSH Protokoll oder?

    Im übrigen wenn der Webserver ordentlich Konfiguriert ist kann auch ein SSH-Benutzer genauso eingeschränkte Rechte haben wie dein FTP-Benutzer.

    Wie du darauf kommst dass SSH sich nicht auf bestimmte Unterverzeichnisse eingrenzen lässt verstehe ich nicht ganz denn bei beidem wird letztlich auf das selbe Berechtigungssystem zugegriffen.

  19. Re: SSH

    Autor: redmord 04.03.14 - 23:51

    Außerdem ist OpenSSH ja nicht der einzige Server. Als Anbieter könnte man auch mittels Node.js einen eigenen SSH-Server schreiben, der quer durch die Infrastruktur tunnelt und diverse Protokolle mapped.

    https://www.npmjs.org/package/ssh

  20. Re: SSH

    Autor: Moriati 05.03.14 - 06:43

    @TheUnichi: Ja, das kann ich wohl bestätigen. Habe 2TB zu sichern. Server hat 1Gbit/s und auf der Client-Seite habe ich 50Mbit/s. Beide Seiten können die theoretische Bandbreite auch voll liefern. Bei der Verwendung von SSH dümpelt das manchmal bei 5MBit/s rum und wenn man dazu im Netz recherchiert, dann ist das durchaus ein bekanntes Problem. Es gibt einige Hinweise zur Optimierung der Settings, aber irgend wann hat es mir gereicht und ich habe auf ftpes gewechselt und nun rennt das Ding mit den vollen 50Mbit/s. Ich sehe auch nicht weshabl ftpes unsicherer sein sollte als ssh.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ManpowerGroup Deutschland GmbH & Co. KG, Kiel
  2. Radeberger Gruppe KG, Frankfurt am Main
  3. BRUNATA-METRONA GmbH & Co. KG, München
  4. operational services GmbH & Co. KG, Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 127,99€ (Bestpreis!)
  2. ab 369€ + Versand
  3. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Endpoint Security: IT-Sicherheit ist ein Cocktail mit vielen Zutaten
Endpoint Security
IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Tausende Geräte in hundert verschiedenen Modellen mit Dutzenden unterschiedlichen Betriebssystemen. Das ist in großen Unternehmen Alltag und stellt alle, die für die IT-Sicherheit zuständig sind, vor Herausforderungen.
Von Anna Biselli

  1. Datendiebstahl Kundendaten zahlreicher deutscher Firmen offen im Netz
  2. Metro & Dish Tisch-Reservierung auf Google übernehmen
  3. Identitätsdiebstahl SIM-Dieb kommt zehn Jahre in Haft

Mobilfunktarife fürs IoT: Die Dinge ins Internet bringen
Mobilfunktarife fürs IoT
Die Dinge ins Internet bringen

Kabellos per Mobilfunk bringt man smarte Geräte am leichtesten ins Internet der Dinge. Dafür haben deutsche Netzanbieter Angebote für Unternehmen wie auch für Privatkunden.
Von Jan Raehm

  1. Smart Lock Forscher hacken Türschlösser mit einfachen Mitteln
  2. Brickerbot 2.0 Neue Schadsoftware möchte IoT-Geräte zerstören
  3. Abus-Alarmanlage RFID-Schlüssel lassen sich klonen

In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

  1. Keystone: Mechanische Tastatur passt Tastendruckpunkte den Nutzern an
    Keystone
    Mechanische Tastatur passt Tastendruckpunkte den Nutzern an

    Die auf Kickstarter finanzierte Keystone ist eine mechanische Tastatur mit Hall-Effekt-Schaltern. Diese können die Druckstärke registrieren. Eine Software ermöglicht es der Tastatur, das Tippverhalten der Nutzer zu analysieren und Druckpunkte entsprechend anzupassen.

  2. The Witcher: Erster Netlix-Trailer zeigt Geralt, Ciri, Triss und Striegen
    The Witcher
    Erster Netlix-Trailer zeigt Geralt, Ciri, Triss und Striegen

    Netflix stellt den ersten Trailer seiner Serie The Witcher vor. Henry Cavill als Geralt von Riva kämpft dabei gegen Monster und Menschen und verwendet Hexerzeichen, Pirouettenkampf und Zaubertränke. Einige Szenen erinnern an Passagen aus den Büchern.

  3. TLS-Zertifikat: Gesamter Internetverkehr in Kasachstan kann überwacht werden
    TLS-Zertifikat
    Gesamter Internetverkehr in Kasachstan kann überwacht werden

    In Kasachstan müssen Internetnutzer ab sofort ein spezielles TLS-Zertifikat installieren, um verschlüsselte Webseiten aufrufen zu können. Das Zertifikat ermöglicht eine staatliche Überwachung des gesamten Internetverkehrs in dem Land.


  1. 12:30

  2. 11:57

  3. 17:52

  4. 15:50

  5. 15:24

  6. 15:01

  7. 14:19

  8. 13:05