ftp:ftps

FTPS

FTPS – расширение протокола FTP, функционально аналогичное https (для http) и включает полную поддержку TLS. Клиент запрашивает защищенную передачу данных у сервера и согласовывает шифрование. Если клиент не запросит защищенную передачу, FTPS сервер вправе как сохранить, так и закрыть незащищенное соединение.

Наш FTP-сервер поддерживает как «простой» FTP, так и FTPS. Поэтому при настройке FTP-клиента необходимо убедиться, что он будет запрашивать защищенное соединение

Этот вид конфигурации FTPS иногда называют Явный или Explicit FTPS (или FTPES), в противоположность устаревшему (но еще поддерживаемому некоторыми серверами и клиентами Implicit FTPS)

Наш FTP-сервер поддерживает только Explicit FTPS и TLS 1.2/1.3. Учитывайте это при настройке FTP-клиента

Проверьте, что на вкладке Общие в Менеджере Сайтов выбрано шифрование использовать явный FTP через TLS если доступно. Для того, чтобы всегда использовалось только защищенное соединение, можно выбрать требовать FTP через TLS (явный):









При первом подключении FileZilla попросит проверить и принять сертификат сервера. В отличие от браузеров, FileZilla не проверяет наличие корневого сертификата в системе, вместо этого используя модель TOFU (Trust On First Use). На этом этапе имеет смысл сверить серийный номер (Детали/serial) и/или контрольную сумму сертификата.

Актуальный серийный номер нашего сертификата: 00:AA:1E:5C:7E:51:00:6C:62:0D:3C:1C:18:38:47:14:AB
Контрольная сумма SHA-1: 44:9B:A4:06:25:20:63:47:1E:5D:E2:EF:F5:EE:7D:6C:47:6D:0B:89

Чтобы этот диалог более не появлялся, отметьте опцию Always trust this certificate in future sessions (Всегда доверять этому сертификату в дальнейшем)




Выполнить команду
$ openssl s_client -starttls ftp -connect megaseed.kz:21 </dev/null 2>/dev/null | openssl x509 -fingerprint -noout -in /dev/stdin
…и проверить контрольную сумму:
SHA1 Fingerprint=44:9B:A4:06:25:20:63:47:1E:5D:E2:EF:F5:EE:7D:6C:47:6D:0B:89

Большинство современных файловых менеджеров, исключая Проводник Windows поддерживают FTPS «из коробки». Достаточно ввести в адресной строке ftps://$USERNAME@megaseed.kz (где $USERNAME – имя пользователя) и ввести пароль. Далее можно будет работать с файлами через FTPS так же, как с локальными. Вот так это выглядит в Nemo (файловом менеджере среды рабочего стола Cinnamon):

Рекомендуем добавить этот адрес в закладки файлового менеджера

Для принудительного FTPS в lftp необходимо использовать следующие команды: set ftp:ssl-force true; set ftps:initial-prot 'P';.
(Здесь и далее жирным выделены вводимые команды)

$ lftp megaseed.kz
lftp megaseed.kz:~> set ftp:ssl-force true;
lftp megaseed.kz:~> set ftps:initial-prot 'P';
lftp megaseed.kz:~> user megaseed
Password:
lftp megaseed@megaseed.kz:~> ls
-rw-r–r– 1 megaseed seedbox 0 Mar 15 09:32 charset test - кириллица.txt

Чтобы не вводить эти команды каждый раз при подключении к серверу, их можно записать в конфигурационный файл в профиле пользователя (~/.lftprc или ~/.lftp/rc), или же в общий конфигурационный файл /etc/lftp.conf.

  • Так же, как и https, FTPS использует сертификаты X.509, что позволяет (при наличии сертификата, подписанного CA) избежать уязвимостей типа MITM.
  • Если FTPS-сервер использует самоподписанные сертификаты и не публикует контрольных сумм своих ключей, то прямого и надежного способа проверить аутентификацию просто не существует.
  • Особенность протокола FTP, предусматривающая использование раздельных каналов для управляющего соединения и передачи данных, может потребовать дополнительной настройки файервола как на стороне сервера, так и на стороне клиента – особенно в случае FTPS, когда фaйервол не может логически объединить физические сессии управления и передачи данных.
  • Ввиду долгой истории протокола FTP и разнообразия серверных и клиентских реализаций вопрос с согласованием кодировок между клиентом и сервером иногда приходится решать пользователю.

Наш FTP-сервер использует порт 21 как для «простого» FTP, так и для FTPS. Это сделано для удобства настройки и для совместимости со старыми версиями FTP-клиентов


Читать далее: SFTP



Если у вас остались вопросы, пожалуйста свяжитесь с нами в Telegram или другим способом
Нет сидбокса? Его можно приобрести здесь

  • ftp/ftps.txt
  • Последнее изменение: 2021/03/31 11:53
  • (внешнее изменение)