SSH FTP-Account

  • Hallo, eine Kundin von mir hat sich eine AXIS WebCam zugelegt. Leider können diese -sonst sehr professionellen Kameras - nur einen ganz normalen FTP-Account nutzen oder einen SFTP-Account. Ersteres wird ja kaum noch von einem Provider untersützt. Dies ist ja auch gut so.


    Aber Live-Config lässt mich keinen weiteren SFTP-Account anlegen, dies ist sehr schade.
    Jetzt müssen wir in einer WebCam den Haupt/Root-FTP-Account eintragen. Eigentlich möchte ich dies nicht, aber Live-Config lässt mir derzeit keine Wahl.


    Daher 2 Vorschläge von mir:

    • Es sollte möglich sein, weitere SFTP-Accounts anzulegen
    • Es sollte möglich sein, das Startverzeichnis für den Haupt-FTP-Account ändern zu können


    Bei Massenhostern wie z.B. Strato, 1und1, etc... ist dies ohne weiteres möglich.


    mfg
    Oliver

  • Wenn Proftpd genutzt wird kann man einfach das mod_sftp nutzen um einen SFTP Zugang herzustellen. Siehe: https://www.liveconfig.com/de/…ur-Verf%C3%BCgung-stellen


    Das ist aber keine Userfreundliche Lösung.
    Ich möchte einfach - so wie es jetzt auch geht - nur einen SFTP-Account erstellen können, ganz normal über die Oberfläche und möchte nicht mit Skripte etwas basteln müssen.


    Ist ja auch nur als Vorschlag zu sehen ... mit 1und1 und Strator und wie die alle heißen, ist dies ohne weiteres auch möglich. Warum nicht auch mit LiveConfig?

  • Was ist daran nicht User freundlich? Einmal konfiguriert kann jeder in Liveconfig angelegte FTP User dann auch SFTP nutzen. Ich finde das eigentlich sehr Nutzer freundlich weil der User entscheiden kann ob er FTP/FTPS oder SFTP nutzen möchte ;)

  • achso ... du meinst der Provider muss irgendwas machen, damit ich ganz normal über die Oberfläche ein FTP-Account erstellen kann?


    Ich bin "nur" Nutzer bzw. ein Kunde ... ich kann am Server im Hintergrund nichts einstellen.


  • Kann es sein, dass im Account grundsätzlich kein FTP-Zugang mehr erlaubt ist?
    Dann eventuell mit dem Anbieter reden bezüglich Erweiterung.

  • Kann es sein, dass im Account grundsätzlich kein FTP-Zugang mehr erlaubt ist?
    Dann eventuell mit dem Anbieter reden bezüglich Erweiterung.


    Diese Kameras unterstützen leider nur die einfachen FTP-Zugänge (ohne SSL/TLS) ... diese unterstützt ja so gut wie kein Anbieter und nur noch SFTP-Zugänge.

  • Was ist daran nicht User freundlich? Einmal konfiguriert kann jeder in Liveconfig angelegte FTP User dann auch SFTP nutzen. Ich finde das eigentlich sehr Nutzer freundlich weil der User entscheiden kann ob er FTP/FTPS oder SFTP nutzen möchte ;)


    Das ist überhaupt nicht "Userfreundlich", das sind Bastelarbeiten, mehr nicht! Außerdem:

    Zitat

    Es muss nur daran gedacht werden das die Konfiguration wieder eingebunden wird wenn über Liveconfig die Konfiguration neu erzeugt wird.


    Es muss eine sinnvolle Lösung her! Warum nicht einfach per Checkbox: "SSH erlauben" / "SSH verbieten"?

  • Diese Kameras unterstützen leider nur die einfachen FTP-Zugänge (ohne SSL/TLS) ... diese unterstützt ja so gut wie kein Anbieter und nur noch SFTP-Zugänge.


    Aaalso, es gibt hier offenbar ein Mißverständnis.


    Wenn die Kameras nur "normale" (unverschlüsselte) FTP-Zugänge unterstützen, dann ist das an sich kein Problem. Allerdings kann es sein, dass der Serveradministrator in LiveConfig festgelegt hat, dass nur verschlüsselte Verbindungen erlaubt sind. Streng genommen muss der Provider das sogar so einrichten (Stichwort: DSGVO). Für unverschlüsselte Verbindungen bräuchte er sonst Haftungsfreistellungen von allen Kunden - das ist dann doch eher etwas praxisfremd.
    Das selbe Problem ergibt sich anders herum beim Einsatz solcher Kameras (bei jedem Datenschutz-Audit würde die dann durchfallen).


    Einzige Lösung also: mit dem Provider sprechen, ob unverschlüsselte FTP-Verbindungen erlaubt sind bzw. erlaubt werden können.


    Dann zum nächsten Thema: FTP, FTPS und SFTP.
    FTP und FTPS sind fast das selbe (FTPS ist eben FTP mit SSL, wahlweise implizit (über einen separaten Port) oder explizit (STARTTLS, also auch auf Port 21).
    SFTP ist aber etwas grundsätzlich anderes (der Name ist leider sehr unglücklich gewählt, weil das mit FTP nicht mehr viel zu tun hat). SFTP ist vielmehr mit SCP zu vergleichen, da hierfür auch SSH als Transportkanal genutzt wird. Das bedeutet: es kann nicht ohne weiteres virtuelle SFTP-Benutzer geben (zumindest nicht so lange das über Port 22 = SSH läuft). mod_sftp setzt die Konfiguration eines eigenen Ports dafür vorraus (was man den Anwendern dann auch erst einmal erklären muss).


    Unsere Empfehlung daher: FTPS (FTP+SSL/TLS) verwenden - das unterstützen alle aktuellen FTP-Programme, und da sind keine Bastelarbeiten notwendig.

  • OK, das sind zwei Meinungen. Ich finde halt nicht das es Bastelarbeit ist. Liveconfig lässt grundsätzlich eine sehr freie Konfiguration der Dienste zu. Nichts anderes wird hier gemacht. Es wird einmal! konfiguriert und ist dann immer aktiv. Bei Debian wird die Konfiguration auch automatisch eingebunden wenn diese bei Proftpd im "conf.d" Verzeichnis liegt. Du kannst also jederzeit den proftpd über Liveconfig weiter konfigurieren.
    Aber jeder soll seine Meinung haben. Es ist aber ein Weg der funktioniert um jeden FTP User ebenfalls SFTP zu ermöglichen.


    SSH Zugriff ist hier natürlich etwas anderes. Aber darum ging es ja gar nicht.

  • Das bedeutet: es kann nicht ohne weiteres virtuelle SFTP-Benutzer geben (zumindest nicht so lange das über Port 22 = SSH läuft). mod_sftp setzt die Konfiguration eines eigenen Ports dafür vorraus (was man den Anwendern dann auch erst einmal erklären muss).


    Naja. System-Benutzer mit doppelter User-ID wären eine mögliche Lösung (so hat's Confixx mit den FTP-Accounts gemacht), was aber widerrum das chroot-Problem nicht löst.


    Die mod_sftp-Lösung ist relativ sexy, mit dem Nachteil des dedizierten Ports.


    Wer eher SFTP bevorzugen möchte, kann natürlich auch den SSHd auf z.B. 2201 legen und mod_sftp auf 22.


    Hier[tm] wird hauptsächlich SSH angefragt, so dass SFTP per se eigentlich irrelevant ist - und der Port-Wechsel eher hinderlich.


    Zitat

    Unsere Empfehlung daher: FTPS (FTP+SSL/TLS) verwenden - das unterstützen alle aktuellen FTP-Programme, und da sind keine Bastelarbeiten notwendig.


    Die Clients - schon.


    Die Firewalls - nicht.


    Wir hatten gerade in der Anfangszeit häufig Probleme mit Kunden, die den PASV-Mode über DPI freigeschalten haben. Nachdem die Firewall aber den PASV-Port nicht aus dem verschlüsselten Control-Traffic parsen konnte, wurde der PASV-Traffic gar nicht erst erlaubt.

  • Unsere Empfehlung daher: FTPS (FTP+SSL/TLS) verwenden - das unterstützen alle aktuellen FTP-Programme, und da sind keine Bastelarbeiten notwendig.


    Ich pers. nutze dies auch und mir reicht dies auch. Alle meine FTP-Programme machen dies einwandfrei. Wie gesagt bzw. geschrieben, das Problem ist, das die Software von AXIS eben nur FTP ohne alles und SFTP unterstützt. Mehr nicht. FTP ohne alles kommt nicht in Frage, weil dies mein Provider nicht mehr unterstützt ... ist ja auch richtig so.


    Daher bräuchte ich als Kunde eine einfache Möglichkeit, einen SFTP Account anzulegen ohne den ROOT-FTP-Account raus geben zu müssen. Beim Root-FTP-Account kann ich auch kein Startverzeichnis festlegen. Wir mussten ihn jetzt für die Kamera verwenden, ganz wohl ist mir bei der Sache nicht.


    Daher wäre es wirklich praktisch, wenn Live-Config dies zukünftig unterstützen würde. Wie schon geschrieben, andere Server-Config-Software-Programme können dies auch, daher sollte bzw. wäre es sehr wünschenswert, wenn Live-Config dies auch einmal unterstützen würde. Allein hier im Vorum gibt es ja schon mehrfach diesen Wunsch und mehrfach diese Anregung. Der Bedarf wäre also da.


    mfg Oliver

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!