带IP限制的FTPS还是不受IP限制的SSH上的SFT -哪一个更安全？

Question

我只能通过以下方式连接到我的托管Linux Ubuntu服务器

使用带有IP限制的显式SSL (Auth TLS)的FTP

和

SSH上的SFT不受IP限制

问:哪种方法更安全地上传和下载文件？

更新：

防范什么？嗅探，欺骗，暴力攻击和其他基本的攻击方法。

Answer 1

这个问题已经在堆栈交换和在线上讨论过了(例如，请参阅这篇文章)，但我将尝试解决您的具体问题。

作为一项澄清：

• FTPS = FTP安全，这是TLS上的FTP。
• SFTP =使用SSH协议进行文件传输
• 基于SSH的FTP =(未加密的)通过SSH隧道传输的FTP

假设您有第一个和第二个选项可用，那么这两个选项都是加密的，因此嗅探不会产生任何重大影响(当然，除非您能够找到解密密钥)。

欺骗是一个相当广泛的主题，但我假设您指的是服务器模拟(您的计算机被欺骗以为攻击者的计算机是合法的FTPS/SFTP服务器)或中间的人攻击。在这种情况下，这完全取决于设置；FTPS客户端和服务器应该使用有效的CA证书(它们可以用来验证彼此的密钥)；SSH服务器应该在任何客户端连接到它之前通过安全通道将其公钥传输到客户端。如果您采取了每种类型的服务器所需的所有安全措施，那么欺骗就很难成功。

根据服务器的类型和使用的身份验证类型(基于密码或基于密钥)，蛮力攻击的处理方式不同。通常，基于密钥的身份验证不受密码暴力攻击的影响(因为它不使用密码)。除此之外，如果服务器或系统对暴力攻击有某种保护(例如，在多次失败的尝试之后禁用帐户)，则可以减轻其影响(尽管锁定帐户本质上将蛮力转换为拒绝服务)。

因此，一般来说，通过良好的安全实践，两者都可以被视为同等安全。尽管如此，我个人更喜欢SFTP，特别是OpenSSH实现，原因如下：

• 它经受住了时间的考验，安全智慧 (也见这里)。这让我觉得使用它很舒服。
• 您可以配置基于密钥的身份验证，从而使蛮力攻击变得无用。
• 使用防火墙更容易-- FTP可以是主动的，也可以是被动的，需要两个端口(一个用于控制，一个用于数据)，这使得配置防火墙比SFTP要复杂一些