FTPS

FTPS – расширение протокола FTP, функционально аналогичное https (для http) и включает полную поддержку TLS. Клиент запрашивает защищенную передачу данных у сервера и согласовывает шифрование. Если клиент не запросит защищенную передачу, FTPS сервер вправе как сохранить, так и закрыть незащищенное соединение.

Наш FTP-сервер поддерживает как «простой» FTP, так и FTPS. Поэтому при настройке FTP-клиента необходимо убедиться, что он будет запрашивать защищенное соединение

Этот вид конфигурации FTPS иногда называют Явный или Explicit FTPS (или FTPES), в противоположность устаревшему (но еще поддерживаемому некоторыми серверами и клиентами Implicit FTPS)

Наш FTP-сервер поддерживает только Explicit FTPS и TLS 1.2/1.3. Учитывайте это при настройке FTP-клиента

Проверьте, что на вкладке Общие в Менеджере Сайтов выбрано шифрование использовать явный FTP через TLS если доступно. Для того, чтобы всегда использовалось только защищенное соединение, можно выбрать требовать FTP через TLS (явный):

При первом подключении FileZilla попросит проверить и принять сертификат сервера. В отличие от браузеров, FileZilla не проверяет наличие корневого сертификата в системе, вместо этого используя модель TOFU (Trust On First Use). На этом этапе имеет смысл сверить серийный номер (Детали/serial) и/или контрольную сумму сертификата.

Актуальный серийный номер нашего сертификата: 74:8B:1E:C0:98:D0:E2:03:B9:CD:08:DF
Контрольная сумма SHA-1: 20:4E:3F:9F:C4:22:32:48:A1:59:A7:99:48:51:C2:49:AF:C6:91:85

Чтобы этот диалог более не появлялся, отметьте опцию Always trust this certificate in future sessions (Всегда доверять этому сертификату в дальнейшем)

Выполнить команду
$ openssl s_client -starttls ftp -connect megaseed.kz:21 </dev/null 2>/dev/null | openssl x509 -fingerprint -noout -in /dev/stdin
…и проверить контрольную сумму:
SHA1 Fingerprint=20:4E:3F:9F:C4:22:32:48:A1:59:A7:99:48:51:C2:49:AF:C6:91:85

Большинство современных файловых менеджеров, исключая Проводник Windows поддерживают FTPS «из коробки». Достаточно ввести в адресной строке ftps://$USERNAME@megaseed.kz (где $USERNAME – имя пользователя) и ввести пароль. Далее можно будет работать с файлами через FTPS так же, как с локальными. Вот так это выглядит в Nemo (файловом менеджере среды рабочего стола Cinnamon):

Рекомендуем добавить этот адрес в закладки файлового менеджера

Для принудительного FTPS в lftp необходимо использовать следующие команды: set ftp:ssl-force true; set ftps:initial-prot 'P';.
(Здесь и далее жирным выделены вводимые команды)

$ lftp megaseed.kz lftp megaseed.kz:~> set ftp:ssl-force true; lftp megaseed.kz:~> set ftps:initial-prot 'P'; lftp megaseed.kz:~> user megaseed Password: lftp megaseed@megaseed.kz:~> ls -rw-r–r– 1 megaseed seedbox 0 Mar 15 09:32 charset test - кириллица.txt

Чтобы не вводить эти команды каждый раз при подключении к серверу, их можно записать в конфигурационный файл в профиле пользователя (~/.lftprc или ~/.lftp/rc), или же в общий конфигурационный файл /etc/lftp.conf.

Так же, как и https, FTPS использует сертификаты X.509, что позволяет (при наличии сертификата, подписанного CA) избежать уязвимостей типа MITM.
Если FTPS-сервер использует самоподписанные сертификаты и не публикует контрольных сумм своих ключей, то прямого и надежного способа проверить аутентификацию просто не существует.
Особенность протокола FTP, предусматривающая использование раздельных каналов для управляющего соединения и передачи данных, может потребовать дополнительной настройки файервола как на стороне сервера, так и на стороне клиента – особенно в случае FTPS, когда фaйервол не может логически объединить физические сессии управления и передачи данных.
Ввиду долгой истории протокола FTP и разнообразия серверных и клиентских реализаций вопрос с согласованием кодировок между клиентом и сервером иногда приходится решать пользователю.

Наш FTP-сервер использует порт 21 как для «простого» FTP, так и для FTPS. Это сделано для удобства настройки и для совместимости со старыми версиями FTP-клиентов

Читать далее: SFTP

Если у вас остались вопросы, пожалуйста свяжитесь с нами в Telegram или другим способом
Нет сидбокса? Его можно приобрести здесь