LINUX.ORG.RU

SFTPGo 2.0.0

 , , ,


0

3

Вышла новая версия SFTPGo — SFTP-сервера с обширными возможностями, написанного на языке Go. Помимо протокола SFTP, сервер также поддерживает FTP/S и WebDAV. В качестве внутреннего хранилища поддерживаются локальные ФС, зашифрованные ФС, S3-совместимые хранилища, хранилища Google Cloud и Azure Blob Storage, а также другие SFTP-сервера. SFTPGo может быть запущен в portable режиме, а также имеет веб-интерфейс для администрирования.

Основные изменения в релизе:

  • Новая версия REST API v2 с поддержкой роли администратора.

  • Прозрачное шифрование хранимых данных (Data At Rest).

  • Поддержка KMS: учетные записи и ключи теперь могут хранится во внешней KMS (Vault, GCP KMS, AWS KMS).

  • SFTP теперь может использоваться как реализация внутреннего хранилища, позволяя использовать сервер в режиме SFTP-прокси.

  • Двунаправленная аутентификация через TLS (TLS with client certificate authentication) для FTP, WebDAV, REST API и web-админки.

  • Встроенный блокировщик: пользователь может настроить политику автоблокировки подозрительных клиентов.

>>> Подробности

★★★★

Проверено: Shaman007 ()

Прям GTFO какое-то.

anonymous ()

А прикольная штука - интеграция с KMS позволит избежать позорища SolarWinds когда у них пароль ftp на гитхаб уплыл. Ещё и лицензия приятная - отличная новость!

zabbal ★★★ ()
Ответ на: комментарий от sT331h0rs3

ftp тут третичен. Это прежде всего sftp-сервер с виртуальными пользователями, нормальным чрутингом и биндом виртуальных пользователей к реальным.

anonymous ()
Ответ на: комментарий от anonymous

Да не просто нужно, ему и альтернатив нет, так как mysecureshell давно заброшен и не поддерживается

anonymous ()

KMS, DRM, TLS… ладно в разных областях плодить идентичные аббревиатуры, но тут-то зачем?

hatred ()

Правильно, давайте теперь весь софт переписывать под лозунгом «мы тоже так можем». Мне это видится не целенаправленным развитием продукта (sftp сервера), а шагом по популяризации языка.

rumgot ★★★★★ ()
Последнее исправление: rumgot (всего исправлений: 1)
Ответ на: комментарий от mx__

Ну то есть предлагаешь давать Шелл каждому пользователю sftp, каждого заводить в систему и т.д. дабы не плодить сущности?

Насколько я понял сабж без SSH не может существовать …

Вполне может

AVL2 ★★★★★ ()
Последнее исправление: AVL2 (всего исправлений: 1)
Ответ на: комментарий от sT331h0rs3

Проблема фтп не в серверах, проблема в клиентах. В том же Хроме ftp вообще выпилили. А он, можно сказать, основной браузер на сегодняшний день. Опять же, сколько клиентов поддерживают ftps?

WatchCat ★★★★★ ()
Ответ на: комментарий от Im_not_a_robot

хотелось бы простого чего-то.

Куда уж проще-то:

  1. Скачал бинарник

  2. Зашёл в директорию, которую хочешь расшарить.

  3. sftpgo portable, оно даже сгенерит рандомный пароль для тебя

  4. PROFIT

cocucka ★★★★ ()
Последнее исправление: cocucka (всего исправлений: 1)

Мда...

Вот только на Go этого ещё и не было. Изо всего, что могло бы заинтересовать – WebDAV, который у меня и так есть на сервере, с поддержкой https и аутентификации. Элементарно делается в nginx. В данном продукте… Ну, в общем, ладно. Зачем оно не ясно, но есть так и есть. И радует то, что сервер ssh/sftp это одно, а если нужен WebDAV, то это другое. Несвязанные сервера. Зачем это всё в одном комбайне – не ясно.

Поддержка «облаков» и прочее лично у меня вызывает большие сомнения в виду малой нужности (лично мне).

ftps и ftp в общем и целом как-то по большей части приказали долго жить, т.к. есть WebDAV. А так же есть scp, sftp…

Короче, круто что это теперь есть и на Go. Больше особого смысла не вижу.

Moisha_Liberman ()
Последнее исправление: Moisha_Liberman (всего исправлений: 2)
Ответ на: Мда... от Moisha_Liberman

Re: Мда...

А какая пара клиент+сервер умеет докачку вверх и вниз по вебдаву?

anonymous ()
Ответ на: Re: Мда... от anonymous

Если нужна именно докачка...

То я бы посмотрел на http://www.grid.net.ru/nginx/upload.ru.html, либо самому раздробить здоровый файл на чанки.

Но вообще, «докачка» применительно к WebDAV это что-то не то с архитектурой. Для докачек хороши торрент-протоколы.

Moisha_Liberman ()
Ответ на: Если нужна именно докачка... от Moisha_Liberman

Re: Если нужна именно докачка...

Какая еще «архитектура»? Ты льешь 10 гигов видео, за секунду до завершения отсыхает вайфай. Какая пара клиент+сервер позволит долить последние байты после переподключения?

anonymous ()
Ответ на: комментарий от AVL2

Прочитал :

SFTP — протокол прикладного уровня, предназначенный для выполнения операций с файлами поверх надежного и безопасного SSH-соединения.

Т.е. SFTP без SSH не может быть.

mx__ ★★★★★ ()
Ответ на: Re: Если нужна именно докачка... от anonymous

Почините свой Wi-Fi.

Ты льешь 10 гигов видео, за секунду до завершения отсыхает вайфай.

Лью намного больше, бывает. И ничего не отсыхает. ЧЯДНТ? Говорю же – почините свой Wi-Fi.

Какая пара клиент+сервер позволит долить последние байты после переподключения?

torrent. Сервер и клиент любые.

Moisha_Liberman ()
Ответ на: Почините свой Wi-Fi. от Moisha_Liberman

Re: Почините свой Wi-Fi.

Понятно, мань. «УМВР» + баззворды + идиотский совет вместо ответа на сухой технический вопрос. Шоп ты всю жизнь заливал торрентами видео на личные впски, архитектор.

anonymous ()
Ответ на: Почините свой Wi-Fi. от Moisha_Liberman

torrent. Сервер и клиент любые.

Подтверждаю, кстати. Многие клиенты могут быть и серверами (в частности qbittorrent, utorrent), просто создаешь торрент и передаешь магнит-ссылку человеку. Качал файлы по несколько десятков гигабайт на слабых и нестабильных каналов. Лучше ничего не придумаешь: тут тебе и докачка, и проверка. Но это не совсем про то, что тут обсуждают.

Im_not_a_robot ★★★★★ ()
Последнее исправление: Im_not_a_robot (всего исправлений: 1)
Ответ на: Re: Почините свой Wi-Fi. от anonymous

Хорошо что Вам всё понятно.

Радует. Потому что Вы слишком тупы чтобы прочесть приведённую Вам ссылку, где сервер сам поделит длинный файл на чанки и, согласно спецификации обеспечит их докачку прямо по http(-s). Даже WebDAV не нужен.

Так же Вы слишком тупы чтобы пользоваться для докачки по sftp утилитой lftp. Простейший вариант это lftp. Клиент, который понимает что нужно организовать докачку по sftp типа так lftp sftp://mylogin@host.tld cd /path/to/file get -c my_huge_file.tgz. Понимаю что Вам и это не поможет.

Вам нужно гонять данные по открытому и незащищённому протоколу. Удачи. В Вашем случае – только torrent. О чём я Вам сразу и сказал. Другого в архитектуре Вашего межушного ганглия не найдёт своего понимания.

Тут бы поспрашать как насчёт монтирования удалённого файлового хранилища по WebDAV или через sshfs, но я такие вещи спрашивать не буду. У Вас и так Wi-Fi отсыхает… Для Вас это слишком сложно.

Moisha_Liberman ()
Ответ на: комментарий от mx__

Т.е. SFTP без SSH не может быть.

Смотря что называть ssh. Если протокол, то да, а если комбайн openssh то нет.

попробуй ограничить openssh до уровня только sftp по паре папок с виртуальными пользователями. Грубо говоря, перевести его в режим ftp-сервера.

AVL2 ★★★★★ ()
Ответ на: комментарий от anonymous

В любом вопросе содержится примерно...

Спасибо, я в курсе про фтп, но тут маня топит за вебдав, я думал маня разбирается.

50% ответа. Если вопрос идиотский, то он же вызывает идиотский ответ. Откройте спеку на WebDAV и найдите там где и что сказано про докачку файлов. Нет этого? Правильно что нет. Потому что архитектурно он не делался под дятлов с отсыхающим по непонятным причинам Wi-Fi.

Частичную докачку по WebDAV где она была, и там уже давным-давно задепрекейтили. Например, я бы на Вашем месте задумался про то, почему в lighttpd так:

webdav.opts = ( "deprecated-unsafe-partial-put" => "enable" )

В коде на С для curl вообще опция CURL_RESUME_FROM_LARGE ни как не относится к WebDAV, типа вот так, это не для WebDAV, сожалею:

curl_easy_setopt(curl, CURLOPT_RESUME_FROM_LARGE, resume_position);

Но «думать» и Вы, это несколько разные понятия, понимаю. Вы будете с настойчивостью железного идиота применять для решения своих задач непригодные для этого инструменты.

Так что, в Вашем случае только torrent, да.

Moisha_Liberman ()
Ответ на: Хорошо что Вам всё понятно. от Moisha_Liberman

Re: Хорошо что Вам всё понятно.

Маня, ну что ты виляешь-то так? Тебя внятно спросили про вебдав, пара клиент+сервер, способная к докачке. Не суетись, архитектор, а то размазываешь. Ты ж крутой и умный, у тебя даже nginx есть.

anonymous ()
Ответ на: Мда... от Moisha_Liberman

WebDAV много где запрещён. также как и простой Method PUT и ftp/sftp. типа «жрите https/POST» так что эталонное «нинужно».

mumpster ★★★★★ ()
Ответ на: комментарий от AVL2

Так подойдёт?

попробуй ограничить openssh до уровня только sftp по паре папок с виртуальными пользователями. Грубо говоря, перевести его в режим ftp-сервера.

Для начала в /etc/ssh/sshd_config:

Match Group remote-users
    ChrootDirectory %h
    ForceCommand internal-sftp
    AllowTcpForwarding no

Т.е., для пользователей (%h) из группы remote-users мы ограничиваем их доступ только их каталогами.

Назначение пользователя «sftp» в группу remote-users и прочие вещи типа перевода его на nologin не рассматриваем.

Moisha_Liberman ()
Ответ на: Re: Хорошо что Вам всё понятно. от anonymous

В Вашем случае Вам ответили внятно и сразу.

Не могу не пожелать Вам счастливого пути. И изучения матчасти. По тому же WebDAV в принципе.

Куда именно я Вам пожелал счастливого пути, я уточнять не буду, Вы и так в курсе.

Точка, пожалуй.

Moisha_Liberman ()
Ответ на: В любом вопросе содержится примерно... от Moisha_Liberman

Re: В любом вопросе содержится примерно...

Мань, всем пофиг что ты там «понимаешь», или давай названия или говори «я просто маня, которая слышала слово АРХИТЕКТУРА и поставила nginx, я думала, что я что-то знаю, но увы. Впрочем сейчас еще погуглю и снова попытаюсь».

anonymous ()
Ответ на: комментарий от mumpster

Вообще-то, я не знаю зачем в наши времена...

пользоваться в глобальной сети чем-то без SSL/TLS. Тем же «просто ftp». WebDAV без SSL/TLS это абсолютно верно запрещённая во многих местах вещь. «Простой PUT/POST» без тех же SSL/TLS это тоже вещь, покоряющая своей ненужностью.

Moisha_Liberman ()
Ответ на: Так подойдёт? от Moisha_Liberman

Re: Так подойдёт?

А мне надо, что бы они были ограничены не своей домашней директорией, а директориями /srv/web/site1.tld, /srv/web/site4.tld и /data/nasrali/pryamo/v/taz. И что бы файлы залитые пользователем автоматом принадлежали www-data:www-data.

Реализация sftp в openssh убогая, а чрут там не чрут, а фигня на палочке и именно эту проблему решает sftpgo

anonymous ()

Shaman007

Язабан.

Вежливое напоминание, что при этом я не вижу противоречий считать тебя подлецом.

Ествественно, ведь либерасты по определению - шизики. «Буду отстаивать твое право щемить меня» и вот это всё.

anonymous ()
Ответ на: Так подойдёт? от Moisha_Liberman

Re: Так подойдёт?

Мань, копипастить из гугля нерабочие и неполные шпаргалки - не признак специалиста, нет.

anonymous ()
Ответ на: комментарий от anonymous

Ествественно, ведь либерасты по определению - шизики. «Буду отстаивать твое право щемить меня» и вот это всё.

К сожалению, таких «либерастов» уже не осталось, сейчас больше фашисты вида:

Парадокс толерантности говорит о том, что подобную заразу надо давить в зародыше, иначе никакой свободы не будет вообще ни у кого.

Im_not_a_robot ★★★★★ ()
Ответ на: Так подойдёт? от Moisha_Liberman

Для начала я не хочу видеть в системе пользователей sftp. Они должны быть в своей базе данных, хоть в текстовом конфиге, хоть в бд, без разницы, но не системные.

Во вторых, домашний каталог у каждого пользователя это слишком грубо и нелепо. Надо аклы иметь на дерево каталогов для пользователей.

Это даже pure-ftpd умеет и апач. А ты предлагаешь отличный инструмент, удаленный безопасный шелл исковеркать и получить недообрубок старых протоколов ftp и http?

AVL2 ★★★★★ ()
Ответ на: комментарий от fulmar_lor

Ну здесь я соглашусь, пожалуй.

Для онион сервисов не нужно «SSL/TLS», например. Онион сервис может быть в том числе «просто ftp».

Разве что в таком случае. Пожалуй, это единственное оправдание существованию «просто ftp».

Moisha_Liberman ()
Ответ на: комментарий от AVL2

Маня-архитектор просто не понимает, что такое «виртуальный» пользователь, не суди ее строго, пусть погуглит еще. И вообще слезь с нее, она сегодня моя.

anonymous ()
Ответ на: комментарий от Im_not_a_robot

Сорта говна. К счастью, не придется даже валить в КН(Д)Р, ведь они идут к нам.

anonymous ()
Ответ на: комментарий от AVL2

Мне это не нужно я использую отдельно ftp сервер и не знаю как в этом sftp ограничивать юзеров по квотам, размеру, трафику, времени использования и т.д. и т.п.

А sftp у меня обычно связан только с ssh чтобы файло переслать ssh сеансу.

mx__ ★★★★★ ()
Ответ на: комментарий от AVL2

Это не вопрос.

Для начала я не хочу видеть в системе пользователей sftp. Они должны быть в своей базе данных, хоть в текстовом конфиге, хоть в бд, без разницы, но не системные.

Давайте не будем смешивать вопросы аутентификации и всё остальное. Учётки пользователей ssh/sftp могут хоть в LDAP содержаться. Настройка учёток не относистся к теме. Как настроите, так и будет.

Во вторых, домашний каталог у каждого пользователя это слишком грубо и нелепо. Надо аклы иметь на дерево каталогов для пользователей.

Это был пример. Вполне возможно создать каталоги, назначить конкретные права пользователям/группам пользователей на них. Ну, опять же, чисто примера ради:

Match user restricted_user
  ForceCommand internal-sftp
  ChrootDirectory /restricted/directory

Учётка user, как и говорил, хранится в LDAP, например. Можно и групповые политики использовать (группы пользователей в ssh так же есть). И группы пользователей всё так же могут храниться в LDAP.

Это даже pure-ftpd умеет и апач. А ты предлагаешь отличный инструмент, удаленный безопасный шелл исковеркать и получить недообрубок старых протоколов ftp и http?

Я предлагаю использовать инструмент, соответствующий задаче. Я понимаю, что когда в руках молоток, то многое вокруг кажется гвоздями, но у ssh/sftp своя зона ответственности, у WebDAV – своя. Кстати, WebDAV тоже умеет использовать учётки из LDAP. Так что, учётка может быть одна, а доступ хоть по sftp/scp, хоть по WebDAV.

От меня ускользает смысл создания таких вот «комбайнов», как мы здесь обсуждаем.

Moisha_Liberman ()
Ответ на: man 5 sshd_config от Moisha_Liberman

Re: man 5 sshd_config

И там нет ни возможности зачрутить в несколько разных директорий, ни виртуальных пользователей.

Манюнь, то что sftpgo не нужен тебе на локалхосте не означает, что он не нужен нормальным людям. Пойми, что жизнь сложней, чем локалхост твоей бабушки

anonymous ()
Ответ на: Мда... от Moisha_Liberman

ну, все что написано на go ,удобно использовать в микросервисах. так как компилится в один бинарник и все.

constin ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.