FTP Server richtig absichern ... Gefahren?!

[UntiBunti]

Hallo liebe CB Community,
ich wollte mal Fragen ob ich noch mehr mache kann um meinen FTP-Server abzusichern.
Bis jetzt habe ich ein Port aufgemacht, welches den Zugriff auf den FTP Server freigibt, wenn man das Passwort hat.
Kann man noch mehr machen oder ist das alles und wie sicher bzw. unsicher ist ein Offenes Port, mit Passwort?

Kann man von dem offenen Port aus noch wo anders drauf zugreifen oder nur auf den Passwort geschützten FTP Server?

 

[Madman1209]

Hi,

ganz ehrlich, wenn man solche Fragen in einem Forum stellen muss sollte man sich einfach an Profis wenden. Das ist nicht böse gemeint, aber du scheinst nicht genug Erfahrung und Fachwissen zu haben um sinnvoll und sicher einen Server im Netz betrieben zu können in meinen Augen.

VG,
Mad

 

[Falc410]

Ein offener Port bedeutet erstmal noch nichts, es kommt da drauf an ob auf dem Port auch ein Programm ist, welches Anfragen entgegen nimmt. FTP an sich ist ziemlich gefährlich da die Passwörter nicht verschlüsselt übertragen werden. Da solltest du also Verschlüsselung aktivieren. Ansonsten kommt es rein auf die Software an welche du einsetzt. Wenn diese Fehler aufweisst können diese von einem Angreifer ausgenutzt werden.
Und du solltest darauf achten dass du keinen Anonymous Zugang zum FTP (also ohne Passwort) erlaubst, ausser du möchtest das. Dann aber darauf achten dass der Benutzer nicht auf alle Verzeichnisse zugreifen kann und keine Schreibrechte besitzt.

 

[Midnight Sun]

Wer soll darauf zugreifen und dann womit?

 

[d4nY]

Da gibts noch viel was man machen könnte

Du könntest den FTP-Server unter einem speziellen Dienstkonto laufen lassen, dass nur die Rechte bekommt, die es auch wirklich braucht (also z.B. schreiben aufs ftproot-Verzeichnis, lesen aufs FTP-Programmverzeichnis, sonst keinen Zugriff)
Du könntest einen anderen Port als den Standardport nutzen, z.B. 51234. Schlecht, wenn du den FTP öffentlich zugänglich machen willst, aber sehr sicher, wenn nur du oder ein paar "Eingeweihte" ihn nutzen wollen.

Wie Falc schon gesagt hat, verschlüssele die Verbindung. Entweder mit nem ssh-tunnel (SFTP) oder explizit/implizit (FTPS)

Und ganz wichtig: Gute/lange Passwörter verwenden. Wenn dein FTP auf Port 21 läuft kannst du im Log beobachten, wie irgendwelche Bots versuchen den Zugang zu knacken, indem sie gängige Passwörter probieren

 

[UntiBunti]

@Falc410 Also der FTP Server läuft auf NAS4Free...Die TLS/SSL-Verbindung ist noch nicht aktiviert aber das mache ich jetzt ich hoffe nur nicht, dass ich dadurch an Leistung verliere. Natürlich habe die Anonyme Freigabe deaktiviert ... Das "Ident Protokoll" ist auch aktiviert schützt zwar nicht, aber hilf wenn bei er Aufklärung...

@Madman1209 wer nicht mit dem Feuer spielt weiß nicht wie heiß es ist...

Ergänzung (6. Oktober 2014)

Und ganz wichtig: Gute/lange Passwörter verwenden. Wenn dein FTP auf Port 21 läuft kannst du im Log beobachten, wie irgendwelche Bots versuchen den Zugang zu knacken, indem sie gängige Passwörter probieren

Schon zwei ^^

 

[Yuuri]

Wie Falc schon gesagt hat, verschlüssele die Verbindung. Entweder mit nem ssh-tunnel (SFTP) oder explizit/implizit (FTPS)

SFTP und FTP over SSH sind zwei paar Schuhe.

 

[UntiBunti]

okay jetzt wird Freaky habe grade feststellen müssen das ich ca. nur einen halben MB schreiben oder lesen kann dann bricht es ab egal was für einen Datei??? habe schon gedacht das etwas bei den Rechnen falsch eingestellt ist habe ich aber schon überprüft ...an was kann das liegen ?

Ergänzung (7. Oktober 2014)

Okay habe jetzt alles durchgesucht aber keine Lösung gefunden -,-

Ergänzung (7. Oktober 2014)

 

[Daaron]

FTP an sich ist ziemlich gefährlich da die Passwörter nicht verschlüsselt übertragen werden. Da solltest du also Verschlüsselung aktivieren.

Das trifft auf die meisten Protokolle zu... Aber es ist ja nicht so, dass FTP(E)S wirklich Hexenwerk und Dunkle Künste wären. Bei Pureftpd muss man z.B. nur ne Conf-Datei namens TLS erstellen und da ne 1 oder n YES rein schreiben... (und n Snakeoil-Cert zur Hand haben)

Was wirklich nützlich und wichtig ist: Ein Dienst wie fail2ban sollte die Maschine überwachen um Brute-Force - Attacken gleich im Keim zu ersticken.