Accedere ai files fuori casa su sftp (step più delicato)

[chaosblade]

Ciao a tutti

Premetto che sono a questo ultimo step che non mi sono ancora permesso di affrontare perché in questo modo metto i miei files su internet e quindi potenzialmente minacciati anche da una mia configurazione.

Utilizzo la versione FreeNAS-11.0-U2 (e417d8aa5)

Vorrei collegarmi dall'esterno con il mio smartphone con l'app fileBrowser che supporta FTP/SFTP
ovviamente la mia scelta ricade su SFTP

Controllando le varie impostazioni la porta 21 è ftp mentre la 22 è ssh ossia SFTP
A questo punto mi viene da chiedere se devo abilitare sia il servizio ftp ed ssh o solo ssh. Lo chiedo poiché solo le impostazioni ftp mi fanno scegliere l'opzione path cioè il percorso della cartella, mentre ssh no.

Tralasciando le impostazioni del router e di filebrowser (app per accedere da esterno) e il DNS, come devo configurare correttamente questi due servizi per non rischiare?

Grazie mille

 

[GreyMatters]

Il sistema sftp è interno a ssh e non ha bisogno di un server ftp classico. Sftp è una buonissima scelta perché semplice e robusto, funziona alla grande con rsync ed esistono tantissime app che lo supportano.

Ti sconsiglio però di esporre FreeNas a internet perché non è pensato per questo, e seppure il rischio sia remoto (freebsd è molto robusto) rischi di avere amare sorprese.
Meglio sarebbe configurare una jail con un server ssh separato e accedere a quello.

Se fosse un mio sistema:
* l'accesso al server ssh sarebbe vietato a root e vietato con password, accessibile solo tramite chiave
* installerei fail2ban (anche se usando una porta nonstandard sul server eviterai di essere notato dai rompiscatole e fail2ban diventa quasi inutile)
* se possibile i dati sarebbero esposti in sola lettura, con un'area in scrittura se l'upload è necessario. Metterei a posto i file successivamente.
* farei uno snapshot periodico dei dati esposti
* attiverei il firewall sulla jail che esponga solo la porta 22 (internamente sì puoi usare una porta standard) e che impedisca l'accesso alla LAN. In caso di jail compromessa, l'attaccante non potrebbe raggiungere il resto della rete.

Così mi sembra abbastanza sicuro. Che ne dici?

 

[Zofoor]

In alternativa potresti collegarti al servizio ssh tramite una VPN.
Penso sia la soluzione piu' sicura, ma piu' difficile da configurare.

Se il tuo router non supporta VPN potresti installare OpenVPN server in FreeNAS, ho trovato questa guida che potrebbe esserti d'aiuto:
https://www.kirkg.us/posts/running-an-openvpn-server-in-a-freenas-910-jail/

Riguardo SFTP, basta avere abilitato SSH visto che, come già detto, è un servizio interno di SSH. Il nome SFTP sta infatti per SSH File Transfer Protocol.

 

[Jacopx]

SFTP se fatto con chiave e su utenti appositi non è troppo rischioso da esporre... La questione VPN sarebbe senza dubbio la migliore.