Centro di Conoscenza DevOps
Centro di Conoscenza DevOps

Come Trasferire File in Sicurezza Usando SCP e SFTP con SSH

Padroneggia l'arte del trasferimento sicuro di file tramite SSH. Questa guida completa descrive in dettaglio le differenze, i pro e i contro del Secure Copy Protocol (SCP) e dell'SSH File Transfer Protocol (SFTP). Impara la sintassi essenziale della riga di comando per entrambi i metodi, inclusi esempi per trasferimenti da locale a remoto e da remoto a locale. Copriamo anche le cruciali migliori pratiche di sicurezza, come l'autenticazione con chiavi SSH e la restrizione degli utenti, garantendo che i tuoi dati rimangano crittografati e protetti durante ogni trasferimento.

43 visualizzazioni

Come Trasferire File in Sicurezza Usando SCP e SFTP con SSH

Il trasferimento di file tra sistemi locali e remoti è un requisito fondamentale per l'amministrazione di sistema e lo sviluppo. Tuttavia, l'uso di protocolli non crittografati come il FTP standard o i comandi R espone dati sensibili a intercettazioni e attacchi. Il protocollo Secure Shell (SSH) fornisce due metodi robusti e crittografati per il trasferimento di file: il Secure Copy Protocol (SCP) e l'SSH File Transfer Protocol (SFTP).

Questa guida illustra come SCP e SFTP sfruttano la crittografia SSH per garantire l'integrità e la riservatezza dei dati durante il transito. Esploreremo i punti di forza e di debolezza di ciascun protocollo, forniremo esempi pratici da riga di comando e delineeremo le pratiche di sicurezza essenziali per una gestione sicura dei file.

Comprendere le Fondamenta: SSH

Sia SCP che SFTP utilizzano SSH (tipicamente in esecuzione sulla porta 22) come livello di trasporto sottostante. Quando si avvia un trasferimento usando uno dei due protocolli, SSH stabilisce prima un tunnel sicuro e crittografato tra il client e il server. Tutti i dati, incluse le credenziali di autenticazione e il contenuto dei file, vengono trasmessi attraverso questo tunnel, rendendo entrambi i metodi alternative altamente sicure ai protocolli di trasferimento file legacy.

Funzionalità chiave fornite dalle fondamenta SSH:

  • Crittografia: Tutti i dati sono crittografati end-to-end.
  • Autenticazione: Supporta sia l'autenticazione tramite password che l'autenticazione tramite coppia di chiavi pubbliche/private, molto più sicura.
  • Integrità: Utilizza l'hashing crittografico per garantire che i file non vengano alterati durante il trasferimento.

Secure Copy Protocol (SCP)

SCP è un protocollo di rete basato sul protocollo di copia remota (rcp) ma avvolto dalla sicurezza di SSH. È progettato per semplicità e velocità, rendendolo ideale per trasferimenti rapidi e non interattivi, specialmente nello scripting o nell'automazione.

Funzionalità e Caratteristiche di SCP

  1. Semplicità: Utilizza una sintassi molto simile al comando Unix standard cp.
  2. Velocità: Generalmente più veloce di SFTP perché non richiede conferme interattive o la configurazione della sessione, basandosi solo sul tunnel SSH sottostante.
  3. Non Interattivo: Una volta avviato, il trasferimento procede fino al completamento senza la possibilità di gestire la sessione o interrompere lo stato del trasferimento.

Comandi Pratici SCP

La sintassi generale per SCP è scp [opzioni] [sorgente] [destinazione].

1. Copiare un File da Locale a Server Remoto

Per inviare un file locale alla directory home di un utente remoto:

scp /path/to/local/file.txt user@remote_host:/home/user/destination/

2. Copiare un File da Remoto a Sistema Locale

Per scaricare un file dal server nella tua directory corrente:

scp user@remote_host:/var/log/system.log . 
# Nota: Il '.' indica la directory locale corrente

3. Copiare un'Intera Directory (Ricorsivo)

Usa il flag -r (ricorsivo) per copiare directory e tutto il loro contenuto:

scp -r /path/to/local/folder/ user@remote_host:/data/backups/

4. Specificare una Porta Non Standard

Se il tuo demone SSH è in esecuzione su una porta diversa dalla 22, usa il flag -P (nota la P maiuscola):

scp -P 2222 local_file.zip user@remote_host:/tmp/

Nota sulla Deprecazione di SCP: Sebbene molto utile, SCP è considerato un protocollo legacy. I sistemi moderni raccomandano sempre più l'uso di SFTP o Rsync su SSH a causa di vulnerabilità note nella progettazione del protocollo SCP, in particolare quelle relative alla manipolazione dei nomi dei file.

SSH File Transfer Protocol (SFTP)

SFTP è un sottosistema di SSH che fornisce un ambiente più ricco e interattivo per la gestione dei file. A differenza di SCP, che è puramente uno strumento di copia, SFTP è un protocollo stateful che consente un controllo dettagliato della sessione, la visualizzazione di elenchi di file, l'eliminazione, la ridenominazione e la creazione di directory, simile a una sessione FTP migliorata, ma interamente sicura.

Funzionalità e Caratteristiche di SFTP

  1. Sessione Interattiva: I trasferimenti avvengono all'interno di una sessione shell dedicata e interattiva.
  2. Robustezza: Supporta la ricerca, la ripresa e la gestione dei singoli trasferimenti all'interno della sessione.
  3. Gestione Completa: Consente di elencare (ls), cambiare directory (cd) e manipolare file remoti e locali utilizzando comandi di sessione (put, get, lcd, lmkdir).
  4. Sicurezza: Altamente affidabile e considerato lo standard per i moderni trasferimenti di file sicuri.

Comandi Pratici SFTP

1. Avviare una Connessione SFTP

Avvia una sessione interattiva al server remoto:

sftp user@remote_host

Se si utilizza una porta specifica:

sftp -P 2222 user@remote_host

2. Comandi Interattivi SFTP

Una volta connesso, per impostazione predefinita operi nell'ambiente remoto. Usa i comandi per gestire trasferimenti e directory:

Comando Descrizione Esempio
ls Elenca file remoti ls -l
cd Cambia directory remota cd /var/www/html
put Carica file (Locale a Remoto) put local_data.zip
get Scarica file (Remoto a Locale) get server_backup.tar.gz
lcd Cambia directory locale lcd /Users/me/downloads
lpwd Stampa directory di lavoro locale lpwd
mkdir Crea directory remota mkdir new_project
quit Esci dalla sessione SFTP quit

Esempio: Caricamento e Download all'interno di una Sessione SFTP

$ sftp [email protected]
sftp> cd /data/backups
sftp> lcd /home/local/reports
sftp> put daily_report.csv  # Carica il file
Uploading daily_report.csv to /data/backups/daily_report.csv
daily_report.csv                                      100% 512KB   4.3MB/s   00:00    
sftp> get configuration.yaml  # Scarica un file
Fetching /data/backups/configuration.yaml to configuration.yaml
configuration.yaml                                    100% 20KB    1.1MB/s   00:00    
sftp> quit

SCP vs. SFTP: Scegliere lo Strumento Giusto

Sebbene entrambi i protocolli siano sicuri, servono esigenze operative diverse:

| Caratteristica | Secure Copy Protocol (SCP) | SSH File Transfer Protocol (SFTP) |
| :--- | :--- | :--- |\
| Meccanismo | Protocollo di copia semplice (Non interattivo) | Protocollo di gestione file interattivo (Stateful) |\
| Caso d'Uso | Trasferimenti rapidi di singoli file; scripting/automazione. | Trasferimenti complessi; gestione directory; sessioni interattive. |\
| Velocità | Generalmente più veloce a causa del minor overhead. | Leggermente più lento a causa degli handshake interattivi. |\
| Ripresa | Scarsamente supportata o inesistente. | Supporta completamente la ripresa e la ricerca dei trasferimenti. |\
| Stato di Sicurezza | Legacy (Alcune vulnerabilità del protocollo). | Standard moderno e robusto. |

Quando usare SCP: Usa SCP quando hai bisogno della massima velocità per un semplice trasferimento di file e stai eseguendo il comando all'interno di uno script dove la non-interattività è preferita.

Quando usare SFTP: Usa SFTP per praticamente tutti i trasferimenti manuali di file, quando hai bisogno di gestire più file, cambiare directory o richiedere robustezza della sessione e funzionalità di sicurezza moderne.

Migliori Pratiche per Trasferimenti Sicuri di File

L'uso di SCP o SFTP è solo il primo passo. Una corretta configurazione della sicurezza sul server SSH è essenziale per proteggere l'ambiente remoto.

1. Dare Priorità all'Autenticazione tramite Chiave SSH

L'autenticazione basata su password è vulnerabile ad attacchi brute-force. Utilizza sempre coppie di chiavi SSH pubbliche/private per autenticare i trasferimenti di file. L'uso delle chiavi elimina il rischio di compromissione della password durante i trasferimenti automatizzati o manuali.

Generare Chiavi (se necessario):

ssh-keygen -t rsa -b 4096

Usare una chiave specifica per il trasferimento:

scp -i ~/.ssh/my_transfer_key file.txt user@remote_host:/tmp/
# o
sftp -i ~/.ssh/my_transfer_key user@remote_host

2. Disabilitare l'Accesso come Root

Non consentire mai trasferimenti diretti di file utilizzando l'utente root. I trasferimenti dovrebbero essere sempre eseguiti da un account utente dedicato e con privilegi minimi. Se è necessario l'accesso amministrativo, i file possono essere spostati nella posizione appropriata dopo il trasferimento utilizzando sudo localmente sulla macchina remota.

3. Restringere l'Accesso usando ChrootDirectory (SFTP)

Per i sistemi che forniscono accesso SFTP a utenti esterni o non attendibili, implementa restrizioni ChrootDirectory all'interno del file sshd_config. Questo blocca l'utente SFTP in una directory specifica, impedendogli di navigare nel resto del filesystem.

Esempio di snippet di configurazione in /etc/ssh/sshd_config:

Match User sftp_external_user
  ForceCommand internal-sftp
  ChrootDirectory /var/sftp/%u
  AllowTcpForwarding no
  X11Forwarding no

4. Limitare i Permessi

Assicurati che l'account utente utilizzato per i trasferimenti abbia solo i permessi minimi necessari per il suo compito (Principio del Minimo Privilegio). Se un utente deve solo caricare file in /data/uploads, assicurati che non possa eliminare file in /etc/config.

Conclusione

SSH fornisce il livello di sicurezza essenziale necessario per operazioni remote affidabili. Mentre SCP rimane un'opzione veloce e diretta per copie tramite script, SFTP offre il set di funzionalità superiore, il controllo interattivo e la robustezza moderna richiesti per una gestione completa dei file. Sfruttando l'autenticazione basata su chiavi e una corretta configurazione lato server, gli amministratori di sistema possono garantire che i loro trasferimenti di file siano non solo funzionali ma interamente sicuri.