passive Ports wirklich notwendig?

[MarroniJohny]

Hi

Ich fahre ein Plesk hinter doppeltem NAT (Fibrerouter->Zywall). Ich hatte da extrem basteln müssen, um FTP von aussen zum laufen zu kriegen. Ich habe mich an die Anleitung gehalten:

https://docs.plesk.com/de-DE/obsidian/administrator-guide/serveradministration/plesk-für-linux-konfiguration-des-passiven-ftpmodus.74643/

In der Zywall habe ich auch die TCP Ports 49152-65535 per NAT weiter geleitet.

Nun bin ich etwas unsicher, ob das richtig war so. Und nötig vor allem. Kann man die Geschichte nicht einfach auf Port 21 beschränken? Wieso muss ich da so viele Ports weiter leiten? Da laufen noch drölfzig andere Dienste im Netzwerk, aber etwas portmässiges in dem Ausmass musste ich noch nie konfigurieren. ftp funktioniert aber leider nur mit dem passiven Modus. Per SFTP gings, aber darauf möchte ich von extern nach Möglichkeit verzichten.

 

[marce]

sftp ist aber wesentlich sicherer als ftp - nach extern würde ich nach Möglichkeit lieber auf ftp verzichten und alt. Systeme einsetzen - sowohl für Upload als auch Download gibt's wesentlich besseres. FTP hat heute einen nur noch sehr eingeschränkten Usecase...

Zudem kannst Du den Port-Range mehr oder weniger bliebig einschränken.

 

[MarroniJohny]

Naja, ich hatte eben mal SFTP systemweit deaktiviert im Plesk. Für den SFTP Zugriff musste ich den Nutzern chrooted zuweisen, und dann konnten die beliebig die Verzeichnisse vom Server durchsuchen. Zumindest von lokaler Seite. Bei meinen Experimenten konnte ich per SFTP, trotz deaktiviert via Plesk, mit dem entsprechenden User auch von aussen so ziehmlich auf alles zugreifen. Ich habe es jetzt mal per Firewall unterbunden, und setzte bis auf weiteres auf den normalen ftp ^^

 

[marce]

Keine Ahnung, was Plesk bei ssh-Zugriff im Hintergrund bastelt - wenn aber ein chrooted sftp- / ssh-Account überall im System Zugriff hat ist da was massiv schief gegangen.

 

[d4f]

sftp ist aber wesentlich sicherer als ftp - nach extern würde ich nach Möglichkeit lieber auf ftp verzichten und alt. Systeme einsetzen

SFTP und FTP sind komplett unterschiedliche Lösungen. Per se ist FTP nicht unbedingt unsicherer als SFTP mit Benutzername+Passwort, unter Annahme dass wir über TLS-verschlüsseltes FTPs und nicht Klartext-FTP.
Passive-FTP ist nur firewallmässig sehr aufwendig...

 

[GwenDragon]

Für den SFTP Zugriff musste ich den Nutzern chrooted zuweisen, und dann konnten die beliebig die Verzeichnisse vom Server durchsuchen.

Nö. Klappt wunderbar bei Plesk Obsidian. Ich bekomme da mit SFTP nur die chrooted-Umgebung.

 

[Thunderbyte]

Ein derart großer Passive FTP Port Bereich ist weder nötig noch sinnvoll. Im Prinzip reichen auch schon 10 Ports (die werden wieder verwendet), wenn man sicher gehen will, nimmt man halt 100 oder 1000.

 

[MarroniJohny]

Hi

Super, danke!

Jetzt läufts von aussen nur noch über SFTP. Das mit dem chrooted und den Verzeichnissen passt auch. Ich hatte mich mit meinem administrativen Account angemeldet, da kann ich halt den ganzen Server durchsuchen (bis auf die Daten der Nutzer), aber das scheint normal zu sein. Bis ich da die Anleitung zu den passiven Ports befolgt hatte, konnte ich glaube ich gar nicht von aussen zugreifen über SFTP. Ich bin dem dann auch nicht weiter nachgegangen. Nutzt denn SFTP auch die passiven Ports? Weil gestern war ich ellenlang dran, und heute hats nach 5 Minuten geklappt dann.

 

[MarroniJohny]

Ahja, das funktioniert auch ohne die passiven Ports per SFTP. Keine Ahnung wieso ich da so lange rum basteln musste, und heute geht das alles. Wurde aber nicht dümmer durch die Aktion. Ich dachte da, ich könne auf alles zugreifen auf dem Server mit einem Kundenaccount, weil da mehr Verzeichnisse als per ftp angezeigt werden. Das sah für mich nach ../ auf dem Server aus. Aber liegt offensichtlich im vhost.

 

[MarroniJohny]

Wahrscheinlich hats (vor-)gestern nicht geklappt, weil ich dauernd im fail2ban geblockt war. An die ganzen neuen Tools muss ich mich noch gewöhnen. Aber ziehmlich geil das alles. Kein Vergleich zu unserem confixx.

 

[d4f]

Ahja, das funktioniert auch ohne die passiven Ports per SFTP.

Du verwechselst SFTP und FTPS. SFTP läuft ausschliesslich über den SSH-Port 22, FTP verwendet Control-Port 21 und eine Range an Datenports (entweder Active oder Passive).

weil da mehr Verzeichnisse als per ftp angezeigt werden.

SFTP / SSH ist oft entweder auf den ganzen Server oder chrooted auf den eigenen Home, also generell mehr als per FTP sichtbar ist.
Theoretisch ist "ganzer Server" kein Sicherheitsrisiko sofern der Admin die Rechtevergabe und Ordner rigorös korrekt verwendet... und nicht wei ein grosser Anbieter in der Vergangenheit Privatekeys rumliegen haben
Nachteil dieser Methode ist aber dass man alle User sehen kann, was oft ungewollt ist.

Anmerkung: Generell mag ich die Cloudlinux Sicherheitskonzepte sehr. Diese limitieren den User deutlich strikter.