Seite 2 von 2 ErsteErste 12
Ergebnis 11 bis 15 von 15
  1. #11
    Erfahrener Benutzer
    Registriert seit
    06.11.2013
    Beiträge
    290
    Zitat Zitat von bfal Beitrag anzeigen
    Was ist daran nicht User freundlich? Einmal konfiguriert kann jeder in Liveconfig angelegte FTP User dann auch SFTP nutzen. Ich finde das eigentlich sehr Nutzer freundlich weil der User entscheiden kann ob er FTP/FTPS oder SFTP nutzen möchte
    Das ist überhaupt nicht "Userfreundlich", das sind Bastelarbeiten, mehr nicht! Außerdem:
    Es muss nur daran gedacht werden das die Konfiguration wieder eingebunden wird wenn über Liveconfig die Konfiguration neu erzeugt wird.
    Es muss eine sinnvolle Lösung her! Warum nicht einfach per Checkbox: "SSH erlauben" / "SSH verbieten"?

  2. #12
    LiveConfig-Team Avatar von kk
    Registriert seit
    10.12.2010
    Beiträge
    3.115
    Zitat Zitat von os24 Beitrag anzeigen
    Diese Kameras unterstützen leider nur die einfachen FTP-Zugänge (ohne SSL/TLS) ... diese unterstützt ja so gut wie kein Anbieter und nur noch SFTP-Zugänge.
    Aaalso, es gibt hier offenbar ein Mißverständnis.

    Wenn die Kameras nur "normale" (unverschlüsselte) FTP-Zugänge unterstützen, dann ist das an sich kein Problem. Allerdings kann es sein, dass der Serveradministrator in LiveConfig festgelegt hat, dass nur verschlüsselte Verbindungen erlaubt sind. Streng genommen muss der Provider das sogar so einrichten (Stichwort: DSGVO). Für unverschlüsselte Verbindungen bräuchte er sonst Haftungsfreistellungen von allen Kunden - das ist dann doch eher etwas praxisfremd.
    Das selbe Problem ergibt sich anders herum beim Einsatz solcher Kameras (bei jedem Datenschutz-Audit würde die dann durchfallen).

    Einzige Lösung also: mit dem Provider sprechen, ob unverschlüsselte FTP-Verbindungen erlaubt sind bzw. erlaubt werden können.

    Dann zum nächsten Thema: FTP, FTPS und SFTP.
    FTP und FTPS sind fast das selbe (FTPS ist eben FTP mit SSL, wahlweise implizit (über einen separaten Port) oder explizit (STARTTLS, also auch auf Port 21).
    SFTP ist aber etwas grundsätzlich anderes (der Name ist leider sehr unglücklich gewählt, weil das mit FTP nicht mehr viel zu tun hat). SFTP ist vielmehr mit SCP zu vergleichen, da hierfür auch SSH als Transportkanal genutzt wird. Das bedeutet: es kann nicht ohne weiteres virtuelle SFTP-Benutzer geben (zumindest nicht so lange das über Port 22 = SSH läuft). mod_sftp setzt die Konfiguration eines eigenen Ports dafür vorraus (was man den Anwendern dann auch erst einmal erklären muss).

    Unsere Empfehlung daher: FTPS (FTP+SSL/TLS) verwenden - das unterstützen alle aktuellen FTP-Programme, und da sind keine Bastelarbeiten notwendig.

  3. #13
    Erfahrener Benutzer
    Registriert seit
    17.02.2011
    Beiträge
    474
    OK, das sind zwei Meinungen. Ich finde halt nicht das es Bastelarbeit ist. Liveconfig lässt grundsätzlich eine sehr freie Konfiguration der Dienste zu. Nichts anderes wird hier gemacht. Es wird einmal! konfiguriert und ist dann immer aktiv. Bei Debian wird die Konfiguration auch automatisch eingebunden wenn diese bei Proftpd im "conf.d" Verzeichnis liegt. Du kannst also jederzeit den proftpd über Liveconfig weiter konfigurieren.
    Aber jeder soll seine Meinung haben. Es ist aber ein Weg der funktioniert um jeden FTP User ebenfalls SFTP zu ermöglichen.

    SSH Zugriff ist hier natürlich etwas anderes. Aber darum ging es ja gar nicht.

  4. #14
    Erfahrener Benutzer
    Registriert seit
    07.04.2011
    Beiträge
    637
    Zitat Zitat von kk Beitrag anzeigen
    Das bedeutet: es kann nicht ohne weiteres virtuelle SFTP-Benutzer geben (zumindest nicht so lange das über Port 22 = SSH läuft). mod_sftp setzt die Konfiguration eines eigenen Ports dafür vorraus (was man den Anwendern dann auch erst einmal erklären muss).
    Naja. System-Benutzer mit doppelter User-ID wären eine mögliche Lösung (so hat's Confixx mit den FTP-Accounts gemacht), was aber widerrum das chroot-Problem nicht löst.

    Die mod_sftp-Lösung ist relativ sexy, mit dem Nachteil des dedizierten Ports.

    Wer eher SFTP bevorzugen möchte, kann natürlich auch den SSHd auf z.B. 2201 legen und mod_sftp auf 22.

    Hier[tm] wird hauptsächlich SSH angefragt, so dass SFTP per se eigentlich irrelevant ist - und der Port-Wechsel eher hinderlich.

    Unsere Empfehlung daher: FTPS (FTP+SSL/TLS) verwenden - das unterstützen alle aktuellen FTP-Programme, und da sind keine Bastelarbeiten notwendig.
    Die Clients - schon.

    Die Firewalls - nicht.

    Wir hatten gerade in der Anfangszeit häufig Probleme mit Kunden, die den PASV-Mode über DPI freigeschalten haben. Nachdem die Firewall aber den PASV-Port nicht aus dem verschlüsselten Control-Traffic parsen konnte, wurde der PASV-Traffic gar nicht erst erlaubt.

  5. #15
    Neuer Benutzer
    Registriert seit
    02.11.2017
    Beiträge
    6
    Zitat Zitat von kk Beitrag anzeigen
    Unsere Empfehlung daher: FTPS (FTP+SSL/TLS) verwenden - das unterstützen alle aktuellen FTP-Programme, und da sind keine Bastelarbeiten notwendig.
    Ich pers. nutze dies auch und mir reicht dies auch. Alle meine FTP-Programme machen dies einwandfrei. Wie gesagt bzw. geschrieben, das Problem ist, das die Software von AXIS eben nur FTP ohne alles und SFTP unterstützt. Mehr nicht. FTP ohne alles kommt nicht in Frage, weil dies mein Provider nicht mehr unterstützt ... ist ja auch richtig so.

    Daher bräuchte ich als Kunde eine einfache Möglichkeit, einen SFTP Account anzulegen ohne den ROOT-FTP-Account raus geben zu müssen. Beim Root-FTP-Account kann ich auch kein Startverzeichnis festlegen. Wir mussten ihn jetzt für die Kamera verwenden, ganz wohl ist mir bei der Sache nicht.

    Daher wäre es wirklich praktisch, wenn Live-Config dies zukünftig unterstützen würde. Wie schon geschrieben, andere Server-Config-Software-Programme können dies auch, daher sollte bzw. wäre es sehr wünschenswert, wenn Live-Config dies auch einmal unterstützen würde. Allein hier im Vorum gibt es ja schon mehrfach diesen Wunsch und mehrfach diese Anregung. Der Bedarf wäre also da.

    mfg Oliver

Stichworte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •