Центр знаний DevOps
Центр знаний DevOps

Как безопасно передавать файлы с помощью SCP и SFTP через SSH

Освойте искусство безопасной передачи файлов с помощью SSH. Это подробное руководство описывает различия, преимущества и недостатки протокола Secure Copy (SCP) и протокола передачи файлов по SSH (SFTP). Изучите основные синтаксические конструкции командной строки для обоих методов, включая примеры передачи с локального хоста на удаленный и с удаленного хоста на локальный. Мы также рассмотрим важнейшие рекомендации по обеспечению безопасности, такие как аутентификация по SSH-ключам и ограничение прав пользователей, чтобы ваши данные оставались зашифрованными и защищенными при каждом переносе.

36 просмотров

Как безопасно передавать файлы с помощью SCP и SFTP через SSH

Передача файлов между локальными и удаленными системами является основным требованием системного администрирования и разработки. Однако использование незашифрованных протоколов, таких как стандартный FTP или R-команды, подвергает конфиденциальные данные перехвату и атакам. Протокол Secure Shell (SSH) предоставляет два надежных, зашифрованных метода для передачи файлов: Secure Copy Protocol (SCP) и SSH File Transfer Protocol (SFTP).

В этом руководстве подробно описано, как SCP и SFTP используют шифрование SSH для обеспечения целостности и конфиденциальности данных во время передачи. Мы рассмотрим сильные и слабые стороны каждого протокола, приведем практические примеры командной строки и опишем важные передовые методы обеспечения безопасности для управления файлами.

Понимание основы: SSH

И SCP, и SFTP используют SSH (обычно работающий на порту 22) в качестве базового транспортного уровня. Когда вы инициируете передачу с использованием любого из этих протоколов, SSH сначала устанавливает безопасный, зашифрованный туннель между клиентом и сервером. Все данные, включая учетные данные для аутентификации и содержимое файлов, передаются через этот туннель, что делает оба метода высоконадежными альтернативами устаревшим протоколам передачи файлов.

Ключевые функции, предоставляемые основой SSH:

  • Шифрование: Все данные шифруются сквозным методом.
  • Аутентификация: Поддерживает как аутентификацию по паролю, так и гораздо более безопасную аутентификацию по паре открытого/закрытого ключей.
  • Целостность: Использует криптографическое хеширование, чтобы гарантировать, что файлы не будут изменены во время передачи.

Протокол безопасного копирования (Secure Copy Protocol, SCP)

SCP — это сетевой протокол, основанный на протоколе удаленного копирования (rcp), но с дополнительной защитой SSH. Он разработан для простоты и скорости, что делает его идеальным для быстрых, неинтерактивных передач, особенно при использовании в скриптах или автоматизации.

Особенности и характеристики SCP

  1. Простота: Использует синтаксис, очень похожий на стандартную команду Unix cp.
  2. Скорость: Как правило, быстрее, чем SFTP, поскольку не требует интерактивных подтверждений или настройки сеанса, полагаясь только на базовый туннель SSH.
  3. Неинтерактивность: После запуска передача выполняется до завершения без возможности управлять сеансом или прерывать состояние передачи.

Практические команды SCP

Общий синтаксис для SCP: scp [options] [source] [destination].

1. Копирование файла с локального на удаленный сервер

Чтобы отправить локальный файл в домашний каталог удаленного пользователя:

scp /path/to/local/file.txt user@remote_host:/home/user/destination/

2. Копирование файла с удаленной на локальную систему

Чтобы получить файл с сервера в текущий каталог:

scp user@remote_host:/var/log/system.log . 
# Примечание: '.' указывает на текущий локальный каталог

3. Копирование целого каталога (рекурсивно)

Используйте флаг -r (рекурсивный) для копирования каталогов и всего их содержимого:

scp -r /path/to/local/folder/ user@remote_host:/data/backups/

4. Указание нестандартного порта

Если ваш демон SSH работает на порту, отличном от 22, используйте флаг -P (обратите внимание на заглавную P):

scp -P 2222 local_file.zip user@remote_host:/tmp/

Примечание об устаревании SCP: SCP, хотя и очень полезен, считается устаревшим протоколом. Современные системы все чаще рекомендуют использовать SFTP или Rsync over SSH из-за известных уязвимостей в дизайне протокола SCP, особенно связанных с манипулированием именами файлов.

Протокол передачи файлов SSH (SSH File Transfer Protocol, SFTP)

SFTP — это подсистема SSH, которая предоставляет более богатую интерактивную среду для управления файлами. В отличие от SCP, который является исключительно инструментом копирования, SFTP — это протокол с сохранением состояния (stateful), который позволяет детально контролировать сеанс, выводить список файлов, удалять, переименовывать и создавать каталоги — подобно расширенному сеансу FTP, но полностью безопасно.

Особенности и характеристики SFTP

  1. Интерактивный сеанс: Передачи происходят в рамках выделенного интерактивного сеанса оболочки.
  2. Надежность: Поддерживает поиск, возобновление и управление отдельными передачами в рамках сеанса.
  3. Полное управление: Позволяет выводить список (ls), менять каталоги (cd) и манипулировать удаленными и локальными файлами с помощью команд сеанса (put, get, lcd, lmkdir).
  4. Безопасность: Высоконадежный и считается стандартом для современных безопасных передач файлов.

Практические команды SFTP

1. Инициирование соединения SFTP

Запустите интерактивный сеанс на удаленном сервере:

sftp user@remote_host

Если используется определенный порт:

sftp -P 2222 user@remote_host

2. Интерактивные команды SFTP

После подключения вы по умолчанию работаете в удаленной среде. Используйте команды для управления передачами и каталогами:

Команда Описание Пример
ls Вывести список удаленных файлов ls -l
cd Сменить удаленный каталог cd /var/www/html
put Загрузить файл (Локальный → Удаленный) put local_data.zip
get Скачать файл (Удаленный → Локальный) get server_backup.tar.gz
lcd Сменить локальный каталог lcd /Users/me/downloads
lpwd Вывести текущий локальный рабочий каталог lpwd
mkdir Создать удаленный каталог mkdir new_project
quit Завершить сеанс SFTP quit

Пример: Загрузка и скачивание в сеансе SFTP

$ sftp [email protected]
sftp> cd /data/backups
sftp> lcd /home/local/reports
sftp> put daily_report.csv  # Загружает файл
Uploading daily_report.csv to /data/backups/daily_report.csv
daily_report.csv                                      100% 512KB   4.3MB/s   00:00    
sftp> get configuration.yaml  # Скачивает файл
Fetching /data/backups/configuration.yaml to configuration.yaml
configuration.yaml                                    100% 20KB    1.1MB/s   00:00    
sftp> quit

SCP против SFTP: Выбор правильного инструмента

Хотя оба протокола безопасны, они служат разным эксплуатационным потребностям:

Характеристика Secure Copy Protocol (SCP) SSH File Transfer Protocol (SFTP)
Механизм Простой протокол копирования (Неинтерактивный) Интерактивный протокол управления файлами (С сохранением состояния)
Сценарий использования Быстрые, одиночные передачи файлов; скрипты/автоматизация. Сложные передачи; управление каталогами; интерактивные сеансы.
Скорость В целом быстрее из-за меньших накладных расходов. Немного медленнее из-за интерактивных подтверждений.
Возобновление Плохо поддерживается или отсутствует. Полностью поддерживает возобновление передачи и поиск.
Состояние безопасности Устаревший (Некоторые уязвимости протокола). Современный, надежный стандарт.

Когда использовать SCP: Используйте SCP, когда вам нужна максимальная скорость для простой передачи файла, и вы выполняете команду в скрипте, где предпочтительна неинтерактивность.

Когда использовать SFTP: Используйте SFTP практически для всех ручных передач файлов, когда вам нужно управлять несколькими файлами, менять каталоги или требуется надежность сеанса и современные функции безопасности.

Рекомендации по безопасной передаче файлов

Использование SCP или SFTP — это только первый шаг. Правильная настройка безопасности на SSH-сервере необходима для защиты удаленной среды.

1. Приоритизируйте аутентификацию по ключам SSH

Аутентификация на основе пароля уязвима для атак методом подбора. Всегда используйте пары открытого/закрытого ключей SSH для аутентификации при передаче файлов. Использование ключей устраняет риск компрометации пароля во время автоматических или ручных передач.

Генерация ключей (при необходимости):

ssh-keygen -t rsa -b 4096

Использование определенного ключа для передачи:

scp -i ~/.ssh/my_transfer_key file.txt user@remote_host:/tmp/
# или
sftp -i ~/.ssh/my_transfer_key user@remote_host

2. Отключите вход для Root

Никогда не разрешайте прямую передачу файлов с использованием пользователя root. Передача всегда должна выполняться выделенной учетной записью пользователя с низкими привилегиями. Если требуется административный доступ, файлы можно переместить в соответствующее место после передачи, используя sudo локально на удаленной машине.

3. Ограничьте доступ с помощью ChrootDirectory (SFTP)

Для систем, предоставляющих доступ по SFTP внешним или ненадежным пользователям, реализуйте ограничения ChrootDirectory в файле sshd_config. Это «запирает» SFTP-пользователя в определенном каталоге, не позволяя ему просматривать остальную часть файловой системы.

Пример фрагмента конфигурации в /etc/ssh/sshd_config:

Match User sftp_external_user
  ForceCommand internal-sftp
  ChrootDirectory /var/sftp/%u
  AllowTcpForwarding no
  X11Forwarding no

4. Ограничьте разрешения

Убедитесь, что учетная запись пользователя, используемая для передачи, имеет только минимальные разрешения, необходимые для выполнения ее задачи (принцип наименьших привилегий). Если пользователю нужно только загружать файлы в /data/uploads, убедитесь, что он не может удалять файлы в /etc/config.

Заключение

SSH обеспечивает необходимый уровень безопасности, требуемый для надежных удаленных операций. В то время как SCP остается быстрым и простым вариантом для копирования по скрипту, SFTP предлагает превосходный набор функций, интерактивный контроль и современную надежность, необходимые для комплексного управления файлами. Используя аутентификацию на основе ключей и правильную настройку на стороне сервера, системные администраторы могут гарантировать, что их передача файлов будет не только функциональной, но и полностью безопасной.