SFTP

SFTP (англ. SSH File Transfer Protocol) — протокол, предназначенный для работы с файлами поверх надёжного и безопасного соединения. Протокол разработан и чаще всего используется как расширение к SSH-2. SFTP не следует путать с FTP через SSH и FTPS.
В SSH используется протокол аутентификации сторон на основе RSA или DSA, но допускается также аутентификация при помощи пароля. Для шифрования данных используется симметричное шифрование, алгоритмы AES, Blowfish или 3DES. Целостность данных проверяется с помощью HMAC-SHA1/HMAC-MD5. Протокол SSH-2 устойчив к атакам прослушивания трафика («снифинг») и атакам путём присоединения посередине (англ. session hijacking).

Наш SFTP-сервер использует порт 10022

На вкладке Общие в Менеджере Сайтов выберите протокол SFTP - SSH File Transfer Protocol и укажите порт 10022:

При первом подключении FileZilla попросит проверить и принять ключ сервера. На этом этапе имеет смысл сверить контрольную сумму ключа:

Контрольные суммы нашего актуального ключа:
SHA256: frm7puzhLK2+ATHNraJhijpSn4cfgajo3IvwcJDmFyM
MD5: c4:7e:bc:04:e3:ac:e6:f2:03:4b:50:8d:8e:9e:56:06

Чтобы этот диалог более не появлялся, отметьте опцию Всегда доверять этому ключу

Выполнить команду:
$ ssh-keygen -E sha256 -lf <(ssh-keyscan -t rsa -p 10022 megaseed.kz 2>/dev/null)
…и проверить контрольную сумму:
2048 SHA256:frm7puzhLK2+ATHNraJhijpSn4cfgajo3IvwcJDmFyM [megaseed.kz]:10022 (RSA)
Чтобы получить контрольную сумму MD5, вместо опции -E sha256 можно использовать -E md5.

Большинство современных файловых менеджеров, исключая Проводник Windows поддерживают SFTP «из коробки». Достаточно ввести в адресной строке sftp://$USERNAME@megaseed.kz:10022 (где $USERNAME – имя пользователя), 10022 – порт подключения и ввести пароль. Далее можно будет работать с файлами через SFTP так же, как с локальными. Вот так это выглядит в Nemo (файловом менеджере среды рабочего стола Cinnamon):

Рекомендуем добавить этот адрес в закладки

Для удобства использования SFTP в lftp рекомендуем использовать следующую команду: set sftp:auto-confirm on;.
(Здесь и далее жирным выделены вводимые команды)

$ lftp -p 10022 sftp://megaseed.kz lftp megaseed.kz:~> set sftp:auto-confirm on; lftp megaseed.kz:~> user megaseed Password: lftp megaseed@megaseed.kz:~> ls drwxrwx— megaseed/seedbox 173 2021-03-28 20:57:00 . drwxrwx— megaseed/seedbox 173 2021-03-28 20:57:00 .. -rw-r–r– megaseed/seedbox 0 2021-03-15 15:32:38 charset test - кириллица.txt

Чтобы не вводить эти команды каждый раз при подключении к серверу, их можно записать в конфигурационный файл в профиле пользователя (~/.lftprc или ~/.lftp/rc), или же в общий конфигурационный файл /etc/lftp.conf.

WinSCP – SFTP-клиент ¹⁾ для Windows. Распространяется по лицензии GNU GPL. Имеет хорошую локализацию и интеграцию с Windows (поддержка Drap&Drop и схем URL). Имеет полнофункциональный встроенный менеджер файлов, поддерживает скриптование.

Скачайте и установите WinSCP. При первом запуске будет предложено создать новое подключение. Выберите протокол SFTP и укажите имя пользователя и пароль. Хост – megaseed.kz, порт 10022.

Нажмите Войти, при первом подключении WinSCP попросит проверить и принять ключ сервера. На этом этапе необходимо сверить контрольную сумму ключа:

Контрольные суммы нашего актуального ключа:
SHA256: frm7puzhLK2+ATHNraJhijpSn4cfgajo3IvwcJDmFyM
MD5: c4:7e:bc:04:e3:ac:e6:f2:03:4b:50:8d:8e:9e:56:06

WinSCP: полная статья

SFTP, работающий внутри сессии SSH, использует, как правило, алгоритм RSA. Таким образом, для безопасной аутентификации необходимо (по крайней мере в первый раз) сверить контрольную сумму ключа сервера с заранее известным значением. С другой стороны, FTPS, использующий X.509, использует для аутентификации цепочку сертификатов, заканчивающуюся корневым сертификатом в хранилище операционной системы – что позволяет реализовать равный с https уровень безопасности без каких-либо умственных усилий со стороны пользователя. Однако стоит заметить, что некоторые FTP-клиенты – например FileZilla, не используют системные корневые сертификаты, поэтому первоначальная проверка (и ключа SFTP и сертификата FTPS) все равно возлагается на пользователя.
SFTP может работать в рамках одного соединения, которое всегда является шифрованным – в отличие от FTPS, в котором разные соединения для управления и передачи данных шифруются раздельно, что может в некоторых случаях (например при неправильной настройке сервера или неочевидных настроек в клиенте) привести к «частичному» шифрованию и утечке данных.
SFTP не требует сложных настроек файервола как со стороны сервера, так и со стороны клиента.
SFTP-серверы, предназначенные для доступа к файлам, как правило, используют собственные реализации сервера SSH (а не используют системную SSH-службу). Поэтому чаще всего они работают не на стандартном порту 22, а на произвольно выбранном – что необходимо учитывать при настройке и подключении SFTP-клиента.