dennis93
Goto Top

SFTP Server Anleitung gesucht (kein FTPS)

Hallo zusammen,

kann mir jemand eine gute Anleitung für die Installation eines SFTP Servers unter Windows verlinken? Ich finde leider immer nur Anleitungen für einen FTPS Server (da habe ich aktuell einen FileZilla Server mit SSL Zertifikat am laufen. Das funktioniert auch, ist aber nicht das, was unser Kunde möchte.).

Danke im Voraus! Leider finde ich nichts zufriedenstellendes zu einem SFTP Server mit Public Key.

LG Dennis

Content-ID: 398272

Url: https://administrator.de/forum/sftp-server-anleitung-gesucht-kein-ftps-398272.html

Ausgedruckt am: 26.12.2024 um 13:12 Uhr

nepixl
nepixl 15.01.2019 um 13:02:48 Uhr
Goto Top
Hi,

was spricht gegen Bitvise?

Gruß
aqui
aqui 15.01.2019 aktualisiert um 13:04:56 Uhr
Goto Top
Wie wärs denn mal mit Linux ?? Damit ist es ja ein Kinderspiel und in 10 Minuten erledigt.
Ist ungleich einfacher und zudem kostenlos:
https://blog.geekx.de/linux-sftp-server-einrichten/

Das SFTP Verzeichnis des Servers mit Samba freigeben und via SMB auf dem Winblows Server mounten und fertig ist der Lack.
Das klappt im Handumdrehen auch mit einem Raspberry Pi.
Den Client für Windows gibts ja:
https://winscp.net/eng/docs/lang:de
NetzwerkDude
NetzwerkDude 15.01.2019 um 13:46:30 Uhr
Goto Top
öhm, ist ein SFTP Server nicht einfach ein SSH Server?
d.h. z.B. einen OpenSSH Server aufsetzen, und dann die Rechte auf "nur SFTP befehle" beschränken, dazu spuckt Google auch einiges aus, z.B.:
https://www.digitalocean.com/community/tutorials/how-to-enable-sftp-with ...
emeriks
emeriks 15.01.2019 um 14:00:52 Uhr
Goto Top
Hi,
Google 1. Treffer: https://www.sftp.net/servers

E.
Snuffchen
Snuffchen 15.01.2019 um 15:08:13 Uhr
Goto Top
Ich finde den BURU SFTP https://buruserver.com/ ganz nett. Gewerblicher Einsatz erfordert allerdings eine Lizenz
ChriBo
ChriBo 15.01.2019 um 18:35:09 Uhr
Goto Top
Hallo,
tu es dir nicht an. Wie @aqui schrieb: installiere es unter Linux, ggf. auf einem Raspberry Pi.
Ich habe in der Vergangenheit auch schon häufiger versucht einen SFTP (bzw. SSH) Server stabil unter Windows ans laufen zu bekommen, ohne Erfolg. Entweder nicht 24/7 stabil, unbrauchbare logs oder sehr schäbig einzurichten und zu warten.
Vielleicht gibt es inzwischen was "Vernünftiges".

CH
maxblank
maxblank 15.01.2019 um 19:24:34 Uhr
Goto Top
Zitat von @ChriBo:
Vielleicht gibt es inzwischen was "Vernünftiges".


Gibt es definitiv auch unter Windows und wurde oben bereits genannt: Bitvise

https://www.bitvise.com/ssh-server

Anleitung: https://www.bitvise.com/configuring-ssh-server-for-sftp
Dennis93
Dennis93 16.01.2019 um 09:21:44 Uhr
Goto Top
Danke schonmal für die vielen Infos. Eine Linux Variante kommt tatsächlich auch in Frage, wir haben einen ESXi auf welchem ich noch Platz für eine weitere VM hätte.
Ich hätte meine Frage nach SFTP Server jedoch weiter spezifizieren sollen. Es soll die Authentifizierung via Public Key passieren, nicht über Passwort.

Was genau gibt es da für mich zu beachten? Muss ich auf dem Server den Public Key für den entsprechenden User erstellen, oder muss der User den Public Key bereitstellen?

Sorry, aber Linux sowie SSH / SFTP sind für mich neue Themen. :D
maxblank
maxblank 16.01.2019 um 17:24:16 Uhr
Goto Top
Beide Varianten gehen. Das Schlüsselpaar muss natürlich zusammen passen und der Private Key auf den SSH-Server. Ob der SSH-Key eine zusätzliche Passwort-Authentifizierung hat, kann bei der Erstellung angegeben werden.

Dazu würde ich dir PuttyKeyGen empfehlen.
https://www.lancom-systems.de/docs/LCOS/referenzhandbuch/topics/lcms_pub ...
Dennis93
Dennis93 17.01.2019 um 10:06:34 Uhr
Goto Top
Heyho.

Ich habe jetzt eine VM mit Debian installiert und dort mit OpenSSH das SFTP am laufen. Der Login mit Username & Passwort funktioniert einwandfrei. Dann habe ich im Home Verzeichnis des Users einen Ordner .ssh erstellt und dadrin eine Datei "authorized_keys".

Dort habe ich den Public Key eingefügt. Möchte ich mich jetzt mit FileZilla und dem User mit Private Key verbinden, dann kommt "Authentifizierung fehlgeschlagen". Sowohl intern als auch extern.

Muss ich irgendwo (evtl. in der sshd_config) noch etwas anpassen, damit der Login mit Private Key und Public Key erlaubt ist?

Danke! LG
Dennis93
Dennis93 17.01.2019 um 10:31:12 Uhr
Goto Top
Habe gerade mal den Zugriff nicht mit FileZilla, sondern mit WinSCP versucht.

Dort kam als Fehlermeldung "Der entfernte Rechner lehnte unseren Schlüssel ab."

Habe extra nochmal den Inhalt der authorized_keys Datei mit dem Public Key verglichen. Gibt es da irgendwas zu beachten bzgl. Formatierung?
Dennis93
Dennis93 17.01.2019 um 10:43:17 Uhr
Goto Top
So, nochmal etwas schlauer (evtl.).

Den Private und Public Key hatte ich im Windows mit Puttygen generiert. Der war im SSH2 Format. Habe das mit ssh-keygen dann ins openssh Format umgewandelt und diesen in die "authorized_keys" eingetragen. Aber auch da lehnt er den Schlüssel ab.
137846
137846 17.01.2019 aktualisiert um 10:48:57 Uhr
Goto Top
Folge, dann klappt das auch:
https://www.thomas-krenn.com/de/wiki/OpenSSH_Public_Key_Authentifizierun ...
Den Private und Public Key hatte ich im Windows mit Puttygen generiert.
Dort musst du diese Zeile für die authorized_keys nehmen :
screenshot

Gruß A.
Dennis93
Dennis93 17.01.2019 um 10:51:34 Uhr
Goto Top
Zitat von @137846:

Folge, dann klappt das auch:
https://www.thomas-krenn.com/de/wiki/OpenSSH_Public_Key_Authentifizierun ...
Den Private und Public Key hatte ich im Windows mit Puttygen generiert.
Dort musst du diese Zeile für die authorized_keys nehmen :
screenshot

Gruß A.

Hey. Habe ich gemacht, danach den SSH Dienst neugestartet. Jedoch sagt er trotzdem "Der entfernte Rechner lehnte unseren Schlüssel ab."
Dennis93
Dennis93 17.01.2019 um 10:54:01 Uhr
Goto Top
Siehe folgende Screenshots:
17-01-2019 10-52-52
17-01-2019 10-53-23
137846
137846 17.01.2019 aktualisiert um 15:59:59 Uhr
Goto Top
Rechte auf die auth_keys passend setzen.
Mach es besser gleich nach Anleitung oben. Bringt nichts wenn du 10 Schritte überspringst.
Dennis93
Dennis93 17.01.2019 um 11:04:36 Uhr
Goto Top
Den Key Typ habe ich vorgegeben bekommen vom Kunden, geht das mit dem Typ gar nicht? Ich habe nur für mich zum Testen erstmal einen eigenen Key in dem Format erstellt.

Der Kunde hat mir seinen Public Key im Typ ED25519 SSH public Key für den Import im OpenSSH-Format zukommen lassen.

Wenn das mit dem Typ gar nicht geht, dann sage ich dem Kunden das.

Die Anleitung habe ich ansonsten befolgt.
137846
137846 17.01.2019 aktualisiert um 11:31:49 Uhr
Goto Top
Zitat von @Dennis93:

Den Key Typ habe ich vorgegeben bekommen vom Kunden, geht das mit dem Typ gar nicht?
Nur in neueren OpenSSH Versionen. Das Server-System solle also auf den aktuellen Stand gebracht werden.

In WinSCP gehen nur *.ppk Keys, musst du also erst umwandeln!
Die Anleitung habe ich ansonsten befolgt.
Offensichtlich nicht ganz, denn sonst würde es funktionieren.
Dennis93
Dennis93 17.01.2019 um 11:36:54 Uhr
Goto Top
Nur in neueren OpenSSH Versionen. Das Server-System solle also auf den aktuellen Stand gebracht werden.
apt-get update
apt-get upgrade
sind beide gemacht.

Open SSH ist in Version 7.4 installiert laut ssh -V


Ich habe die Anleitung befolgt, außer dass ich die Keys mit Putty generiert habe. Ich werde es sonst gleich nochmal neu aufsetzen und neu installieren.
maxblank
maxblank 17.01.2019 um 19:44:35 Uhr
Goto Top
Es muss auf jeden Fall der Private Key auf den Server.
Wer den erstellt, ist ja schnuppe. Aber du brauchst den Private Key auf dem Server.
129580
129580 17.01.2019 aktualisiert um 20:23:46 Uhr
Goto Top
Es muss auf jeden Fall der Private Key auf den Server.

Bitte was?! Ein private Key - wie der Name auch schon sagt - muss streng vertraulich bleiben!
Auf dem Server wird nur der öffentliche Schlüssel bereitgestellt aber niemals der private Key. Ist auch logisch. Überleg mal. face-wink

Ansonsten schau dir nochmal an, wie das Private/Public Key Auth Verfahren funktioniert:
https://www.digitalocean.com/community/tutorials/how-to-configure-ssh-ke ...
https://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem

Du kannst dir das so vorstellen:
Der private Schlüssel ist dein Hausschlüssel und der öffentliche Schlüssel das Schlüsselloch. Nur dein Hausschlüssel passt in das Schlüsselloch.
129580
129580 17.01.2019 aktualisiert um 20:52:29 Uhr
Goto Top
@dkowalke

Falls du die Linux Subsystem auf deiner Windows Kiste installiert hast, dann kannst du auch das Tool ssh-copy-id nutzen.
Das Tool richtet automatisiert den Public Key auf dem Zielserver für den entsprechenden Benutzer ein.

1. Public/Private Keys generieren: ssh-keygen -t rsa -b 4096
2. Public Key auf dem Zielrechner einrichten: ssh-copy-id -i id_rsa.pub <user>@<host>
3. Zugriff mit Private Key ist möglich: ssh -i id_rsa <user>@<host>

Falls das nicht funktioniert, dann liegt es entweder daran, dass du keine Netzwerkverbindung zum Server herstellen kannst oder weil du die SSHD Konfiguration angepasst hast z.B. den Parameter "PubkeyAuthentication" auf "No" gestellt hast oder den Standard Pfad beim Parameter "AuthorizedKeysFile" verändert hast.

Falls du selbst die oben genannten Schritte nicht hinbekommst, dann solltest du dich dringend mit Linux Grundlagen beschäftigen und diese Aufgabe einem erfahrenen Kollegen überlassen. Insbesondere wenn dieser für ein Kunde gedacht ist...
137846
137846 17.01.2019 aktualisiert um 21:12:29 Uhr
Goto Top
Zitat von @maxblank:

Es muss auf jeden Fall der Private Key auf den Server.
Wer den erstellt, ist ja schnuppe. Aber du brauchst den Private Key auf dem Server.
Ja neeeeee, du bist leider einen Tag zu früh für diesen Schwachfug ...Also nochmal bitte die Schulbank drücken der Herr.
the.other
the.other 17.01.2019 um 23:20:21 Uhr
Goto Top
moinsen, habe ich eben für eine andere anfrage schon verlinkt, aber hier dann eben gerne auch (vielleicht hilft dir eine alternativ anleitung ja doch, wenn auch für linux)

https://www.synology-wiki.de/index.php/Ssh_mit_Zertifikaten_absichern

https://forum.synology.com/enu/viewtopic.php?t=126166

https://www.thomas-krenn.com/de/wiki/OpenSSH_Public_Key_Authentifizierun ...

zu beachten ist auch, dass einige systeme normale user nicht für ssh mit key-auth zulassen (zumindest synology nicht), dann hilft:

https://blog.emeidi.com/2017/11/25/normalen-benutzern-den-ssh-login-auf- ...

Wichtig auch, dass die Rechte für die .ssh und die authorized_keys passen (also sehr sehr SEHR restriktiv gesetzt werden), daher noch was zu den Rechten (nicht den politischen Deppen, sondern den Dateirechten):

https://wiki.ubuntuusers.de/chmod/

Mir hat es geholfen, alles geht soweit...
Hoffe, dir auch...
Grüßle
th30ther
maxblank
maxblank 18.01.2019 aktualisiert um 05:00:20 Uhr
Goto Top
Ja, war mein Fehler mit dem Private Key. 🙈