główna strona  Konfiguracja
klienta
SFTP
 
Protokół FTP używany był przez lata do przenoszenia plików między lokalnym komputerem a serwerem. Niestety, okazał się on w praktyce podatny na różnej maści ataki. Dla zapewnienia ochrony poufności informacji przesyłanych między komputerami wprowadzono protokół SFTP, oparty na technologii SSL. Niezbędnym warunkiem jest udostępnienie przez serwer takiej możliwości, a jej wykorzystanie omówiono poniżej.
1. instalacja WinSCP
Należy pobrać i zainstalować program WinSCP. Z dostępnych jego odmian wybieramy standardowy instalator. Instalacja polega w zasadzie na akceptowaniu propozycji oferowanych przez program, więc daruję sobie jej opis.
2. utworzenie pary kluczy
Ten krok jest najważniejszy. Utworzony klucz prywatny może stanowić przepustkę do wielu różnych systemów przez dziesiątki lat, warto to więc zrobić starannie.
Podczas instalacji WinSCP zakłada w Menu Start katalog z głównym programem oraz pomocniczymi narzędziami. Wykorzystamy narzędzie o nazwie puttygen. Po jego uruchomieniu należy w dolnej części okienka wybrać typ klucza: SSH-2 RSA oraz jego wielkość: 2048 wydaje się wystarczające. Rozpoczynamy operację przy pomocy przycisku Generate.



Program pobierze nieco danych losowych z ruchu kursora myszki - należy go przesuwać nad obszarem okienka aż do zapełnienia się widocznego wskaźnika zaawansowania.



Po zakończeniu tego tańca para kluczy jest gotowa. W polu Key comment jest miejsce na opis klucza. Program wypełnia je wstępnie swoimi informacjami, ale Twój administrator najchętniej zobaczyłby tam po prostu imię i nazwisko użytkownika. Poniżej trzeba wpisać dwukrotnie hasło chroniące klucz przed niepowołanym dostępem. Ważny jest wybór naprawdę dobrego hasła, składającego się co najmniej z 10 znaków, w tym koniecznie przedstawicieli różnych kategorii: małych i wielkich liter, cyfr oraz znaków specjalnych. Tak zabezpieczony klucz prywatny zapisujemy przyciskiem Save Private Key. Jako miejsce składowania klucza wybieramy dysk lokalny komputera lub podpięty lokalnie przenośny magazyn plików, np. pendrive. W żadnym wypadku nie należy zapisywać klucza na dyskach sieciowych ani przesyłać go poprzez internet.



Klucz publiczny znajduje się w górnej części okienka w postaci bezładnego ciągu znaków. Te znaki należy pobrać do schowka poprzez użycie drugiego przycisku myszy w obrębie pola i wybranie opcji Zaznacz wszystko, a następnie Kopiuj. Pobraną w ten sposób treść można wkleić do utworzonego w tym celu pliku tekstowego, do korespondencji e-mail, opublikować na stronie www, itp. Klucz publiczny nie stanowi żadnego sekretu. Jeżeli administrator jakiegoś serwera dołączy go do zaufanych kluczy, to umożliwi nam dostęp do zasobów tego serwera.
3. dla większej wygody
Ten krok nie jest obowiązkowy, ale pominięcie go znacznie komplikuje korzystanie z opisanej tu techniki. Zakładam, że nikt nie zechce z własnej woli utrudniać sobie życia.
Wykorzystamy program pageant, który jest instalowany w komplecie z WinSCP. Należy utworzyć skrót do tego programu, np. kopiując jego wystąpienie z Menu Start na Pulpit. Następnie we właściwościach tego skrótu dopisujemy po nazwie uruchamianego programu ścieżkę do naszego klucza prywatnego. Tak spreparowany skrót, być może ze zmienioną stosownie nazwą, można pozostawić na pulpicie lub przenieść gdzieś do Menu Start. Osoby korzystające często z takich połączeń zechcą zapewne umieścić ten skrót w grupie Autostart, aby się uruchamiał zawsze przy starcie systemu.
Uruchomiony w ten sposób pageant zapyta jednokrotnie o hasło do klucza i odtąd aż do wyłączenia go (lub komputera) będzie w naszym imieniu udostępniał klucz we wszystkich wymagających tego sytuacjach. Bez jego pomocy musielibyśmy za każdym razem wpisywać hasło do klucza i/lub podawać jego lokalizację.
4. praktyczne zastosowanie
Aby wykorzystać w praktyce wygenerowaną parę kluczy, musimy znaleźć serwer, którego administrator zgodzi się udzielić nam dostępu przy użyciu tej technologii. Na tutejszym serwerze działa usługa SFTP, która to umożliwia.
Administrator zakłada konto, w ramach którego użytkownik będzie mógł dysponować fragmentem przestrzeni dyskowej serwera. Może to być konto indywidualne lub grupowe, w zależności od potrzeb i pomysłów. Użytkownik przekazuje administratorowi swój klucz publiczny, aby go zarejestrował na liście uprawnionych. Od tej pory będzie można łączyć się z usługą w sposób bezpieczny.
Po stronie klienta należy w programie WinSCP utworzyć nowy opis sesji, podając nazwę lub adres serwera oraz nazwę (login) użytkownika/zasobu. Sformułowanie nazwa użytkownika może być mylące - w rzeczywistości jest to raczej nazwa pewnego zasobu udostępnianego przez serwer. W szczególnym przypadku może on należeć do jednego użytkownika, ale nie bądź zdziwiony jeśli się okaże, że inne osoby mają także dostęp do tych samych danych. Jako protokół należy wybrać SFTP. Numer portu to przeważnie 22, ale administrator może mieć powody aby to zmienić, więc jeśli nie masz pewności, zapytaj.



Hasło może grać rolę w przypadku innych serwerów, lecz na naszym nie jest wykorzystywane. W polu Plik klucza prywatnego można podać ścieżkę do klucza, ale praktyczniej będzie pozostawić je puste i użyć programu pageant tak, jak to opisano wyżej.
W ustawieniach Środowisko/Interfejs proponuję wybrać Eksplorator, czyli interfejs spójny z resztą systemu Windows (w dalszym opisie zakładam, że z nim właśnie mamy do czynienia).



Alternatywny styl interfejsu Commander wydaje się nieco archaiczny i skierowany głównie do wielbicieli klonów Norton Commandera.
Na koniec proponuję zapisać ustawienia sesji pod dowolnie wybraną nazwą, co pozwoli w przyszłości szybko nawiązywać połączenie z serwerem bez zaprzątania sobie głowy szczegółami. Wystarczy wybrać stosowne połączenie z listy Zachowanych sesji.
Do zainicjowania połączenia służy przycisk Logowanie. Jeżeli nie popsuliśmy niczego w opisanym procesie, a i nasz administrator serwera dobrze się spisał, powinniśmy zobaczyć coś takiego:



Może się przedtem pokazać prośba o autoryzację certyfikatu serwera, o ile łączymy się po raz pierwszy, wtedy przeważnie najwłaściwszym będzie zaakceptowanie przedstawionej propozycji.
5. korzystanie z tutejszego serwera
Dla tych, którzy się jeszcze nie zorientowali: takie okienko otwarte w wyniku połączenia z serwerem umożliwia kopiowanie plików na dysk serwera i/lub pobieranie ich stamtąd na swój dysk. Atrakcją tej metody jest możliwość stosowania techniki przeciągnij/upuść do kopiowania plików, która działa analogicznie jak w całym systemie Windows. Nie ma przy tym znaczenia czy serwer znajduje się w sąsiednim pomieszczeniu czy na innym kontynencie. Cała transmisja jest szyfrowana i dobrze zabezpieczona przed przechwyceniem wrażliwych informacji. Z drugiej strony, serwer jest dobrze chroniony przed beztroską użytkowników, ponieważ dostęp ogranicza się tylko do katalogu właściwego danemu użytkownikowi, a cała reszta systemu plików jest skutecznie odizolowana.
Zależnie od inwencji administratora, możemy na serwerze znaleźć kilka katalogów o różnym przeznaczeniu. W katalogu .ssh znajdziesz plik authorized_keys, a w nim - listę kluczy. Jeżeli są tam jakieś inne klucze oprócz Twojego, to znak, że nie jesteś jedynym uprawnionym. Na poziomie głównego katalogu oraz w .ssh nie należy nic zapisywać ani kasować. W minimalnej konfiguracji znajdzie się więc zapewne co najmniej jeden katalog przeznaczony do odczytywania i zapisywania plików przez użytkownika. Trzeba pamiętać, że jednoczesne redagowanie tego samego pliku przez dwóch użytkowników może prowadzić do nieprzewidzianych rezultatów, np. utraty zawartości pliku. Dobrym zwyczajem jest więc praca na lokalnej kopii danych i przesyłanie na serwer gotowych rezultatów.
6. bezpieczeństwo i poufność
Cała transmisja do i z serwera SFTP odbywa się pod osłoną protokołu SSL, co praktycznie uniemożliwia jej podsłuchanie. Użycie kluczy kryptograficznych zapewnia obustronną identyfikację. Jak już wspomniano, pierwsze połączenie wymaga zaakceptowania sygnatury serwera, która zostanie zapamiętana.



Od tej pory to ostrzeżenie nie pokazuje się, chyba ze zostałby zmieniony klucz serwera. To powinno wzbudzić czujność, bo może oznaczać próbę podszycia się pod nasz serwer przez jakąś inną maszynę. Rzetelny administrator powinien dostarczyć użytkownikom aktualny odcisk palca klucza serwera, a także informować o każdej jego zmianie. Obecny klucz RSA naszego serwera identyfikuje się takim skrótem: 76:a5:bc:1e:0a:4c:fb:f7:fa:e9:69:9d:91:23:a1:6b.
7. co by tu jeszcze ulepszyć
Aby zmienić ustawienia zapisanej sesji należy najpierw wskazać taką sesję na liście Zachowanych sesji, wczytać ustawienia przyciskiem Edytuj, dokonać potrzebnych zmian, po czym, korzystając z przycisku Zapisz, zapisać sesję pod tą samą nazwą.  
Współczesne serwery kodują zazwyczaj znaki w standardzie UTF-8, ale WinSCP nie zawsze potrafi to wykryć. W takim przypadku lepiej przełączyć go jawnie na tryb UTF-8 zamiast domyślnego automatycznego wykrywania. Tutejszy serwer wymaga takiego właśnie ustawienia.



 
Gdy kopiujemy pliki na serwer, zapisują się one z prawem odczytu dla wszystkich użytkowników. Jest to słuszne w przypadku plików serwisu www, do których chcemy udzielić dostępu wszystkim, ale dla prywatnych plików warto byłoby nieco te prawa ograniczyć. Zrobimy to na karcie Transfer w okienku Preferencji, które otworzymy z menu Widok podczas trwającego połączenia. Należy włączyć Ustawianie praw dostępu i wyczyścić opcje praw dla Grupy oraz Innych.



Ta zmiana będzie dotyczyć plików kopiowanych w przyszłości, natomiast prawa istniejących plików można ustawiać indywidualnie we właściwościach danego pliku.
 
opiekun: Janusz Wiśniewski :: rejestracja odwiedzin 4849 gości
mobi