QNAP TS-230 SFTP nicht möglich?

[Metalveteran]

Hallo,

ich habe an meinem NAS einen FTP Server laufen, der von aussen zu finden ist. Aber irgendwie bekomm ich SFTP nicht hin. Wenn ich "SFTP aktivieren" anklicke komm ich in ein ganz anderes Menü bzgl. SSH Zugriff, darunter ist der Punkt SFTP aktivieren. Funktioniert aber nicht bzw. nur als admin (was ich natürlich vermeiden will).

Als Verschlüsselung hab ich TLS 1.3 aktiviert. Ist das genauso sicher? Gibt's noch irgendwelche wichtigen To-Dos, die ich durchführen sollte? Bin jetzt nicht so der Spezialist in dem Thema

 

[xammu]

SFTP läuft über SSH, da geht kein normales FTP Programm. Probiere es mal mit WinSCP.

Das andere wäre FTPS oder FTP über SSL

 

[up.whatever]

SFTP ist trotz des ähnlichen Namens ein ganz anderes Protokoll als FTP:

• SFTP basiert auf SSH und läuft über einen einzigen TCP Port (22). Die gesamte Verschlüsselung und Authentifizierung wird von SSH erledigt, TLS ist nicht involviert.
• FTP hingegen benötigt mehrere Ports und ist schon alleine deswegen zu vermeiden. Auf TCP Port 21 läuft die unverschlüsselte Authentifizierung und Steuerung, die eigentliche Datenübertragung geht über einen zusätzlichen dynamisch ausgehandelten Port. Im active mode wird dieser auf dem Client geöffnet, im passive mode auf dem Server. Das alles sorgt für zusätzliche Probleme, sobald Firewalls und NAT im Spiel sind. Dazu kommen noch Altlasten wie der ASCII transfer mode, der nebenbei noch Zeichensätze transcodiert.
• Wenn man das klassische FTP jetzt mit TLS kombiniert, hat man FTPS. Das ist dann zwar verschlüsselt und "sicher", aber das Chaos mit den verschiedenen Ports bleibt.

Tl;dr: Heutzutage willst du immer SFTP benutzen, FTP wird auch durch TLS nicht gerettet.

 

[prian]

Wie willst Du dann an den SFTP-Server des NAS ran?

Ich habe das bei meinem alten TS-509 Pro mal probiert, unter Telnet/SSH ist ein Haken bei SSH-Verbindung zulassen, Port ist 22 und ein Haken bei SFTP aktivieren drin.

Dann habe ich mit dem Total Commander und dem dort installiertem SFTP-Plugin out-of-the-box eine Verbindung aufbauen können, in meinem Fall mit dem User admin.
Ein extra angelegter User kommt da nicht rein, ungültiges Kennwort ist die Meldung ich dann zurückbekomme.

------ EDIT ------
mittels Putty komme ich auch nur mit dem User admin rein, der "normale" User bekommt ein "access denied".

Per Default ist nur der User admin möglich.
Siehe dazu ein Posting aus dem qnapclub.de, schon etwas älter, aber bei meinem NAS gilt das noch.
https://forum.qnapclub.de/thread/1801-howto-ssh-login-nicht-als-admin/
------ EDIT ------

 

[_anonymous0815_]

Ich hatte bis vor kurzem noch privat FTPS am laufen und kann die Portprobleme nicht ganz nachvollziehen. Ich habe eine dedizierte VM genutzt, also wo sonst nichts außer FTP drauf lief und habe von außen Port 21 geöffnet und an eine kleine Range an ungenutzen Ports zur VM weitergeleitet, sodass simultane Sessions möglich waren.

Jetzt bin ich aber auf sftp gewechselt und sehe da deutlich mehr Fehlerpotenzial bei der Konfiguration. Falls man es richtig aufzieht, ist das bombensicher, FALLS! Falls nicht, ist das ein offenes Scheuntentor für die gesamte Welt.

Ich nutze jetzt z.B. einen User "sftp" ohne Rootrechte, welcher keine normale ssh oder x11 over ssh Session aufbauen und nicht aus dem ftp-root-directory ausbrechen kann, mit Public Key Authentification und da ich nur mit einem Bekannten Daten austausche, auch noch eine White-/Blacklist, welche nur Anfragen aus der IP Range der DTAG zulässt.

Ich würde sagen, der ist soweit abgehärtet, aber falls man irgendwo einen Fehler einbaut, ist das Ding halt gefährdet.

Nur mein rant über FTPS und SFTP.

 

[prian]

@_anonymous0815_
Das was Du beschreibst hat doch speziell nichts mit SFTP zu tun.
Auch bei FTP(S) ist bei der falschen Einrichtung das Tor weit offen.
Wenn man von Außen (nicht aus dem internen Netz) den Zugriff auf das NAS via SFTP erlaubt, dann muss logischerweise sichergestellt sein, dass der User von Außen nur in seiner Spielwiese landet und nicht ausbüchsen kann. Dass muss eben eigerichtet werden, gilt aber analog auch für FTP(S).
Der große Vorteil von SFTP ist eben der Tunnel der aufgebaut wird und dann die gesamte Kommunikation durch den Tunnel, der Transportweg ist verschlüsselt.
FTPS bietet "nur" verschlüsselte Übertragung.

Aber nochmals, der Zugriff auf ein QNap-NAS für einen beliebigen User fordert etwas Handarbeit damit das möglich ist.

 

[_anonymous0815_]

Ich habe jetzt leider selbst Probleme mit sftp, die ich mir nicht erklären kann, da es diese gar nicht geben dürfte. Große Filetransfers (bei mir waren es 44 GiB) via TCP kommen am anderen Ende teilweise korrupt an.

Dazu habe ich Berichte in Verbindung mit WinSCP gelesen, aber auch generell mit Bezug zu sftp. Das wäre ja ein absoluter Killer.

https://winscp.net/forum/viewtopic.php?t=30180

 

[xammu]

Das scheint ein Problem in WinSCP sein.
Ich transferiere regelmäßig größere Mengen per SCP, allerdings unter Linux und auf Servern mit dicker Anbindung. Die Checksummen stimmen dabei auf beiden Seiten immer überein.