Продолжаем разговор о способах безопасной передачи файлов между клиентом и сервером на базе Windows Server 2012 R2. В прошлый раз мы рассмотрели применение протокола FTPS, как безопасного расширения протокола передачи файлов FTP. Сегодня мы остановимся на особенностях протокола передачи файлов SFTP (Secure FTP) и его применения в ОС семейства Windows Server.
Особенности протокола SFTP
Протокол SFTP (Secret File Transfer Protocol , Secure FTP или SSH FTP) является расширением протокола SSH, являющимся стандартом мира UNIX/Linux систем. Хотя с точки зрения пользователей он похож на FTP, но на самом деле это абсолютно другой протокол, не имеющий с FTP ничего общего. Данные между клиентом и сервером передаются по порту 22 через SSH туннель.
Основные преимущества протокола SFTP:
- Передача файлов и команд происходит внутри защищенной SSH-сессии
- Для передачи файлов и команд используется одно соединение
- Поддержка символических ссылок, функций прерывания, возобновления передачи, удаления файла и пр.
- Как правило, на каналах, где FTP работает медленно или с перебоем, SFTP-соединение работает более надежно и быстро
- Возможность аутентификации с помощью SSH ключей
Реализация SFTP в системах Windows
Операционные системы Microsoft не предоставляют встроенных средств организации защищенного SFTP сервера. Для этих целей обычно использовались открытые или коммерческие решения, к примеру, Core FTP, FileZilla, CYGWIN, OpenSSH, FTP Shell, IPSwitch и пр.
Однако в октябре 2015 команда разработчиков Microsoft по направлению PowerShell анонсировала выход предварительной версии OpenSSH для Windows, являющейся портом OpenSSH для win32.
Рассмотрим процесс настройки SFTP сервера на Windows Server 2012 R2 с помощью пакета Win32 OpenSSH.
Установка Win32 OpenSSH на Windows Server 2012 R2
Скачать скомпилированную версию пакета можно здесь: https://github.com/PowerShell/Win32-OpenSSH/releases. Нам нужна версия для 64 битной версии Wndows: OpenSSH-Win64.zip (4 Мб)
- Распаковываем содержимое архива в целевой каталог, к примеру: C:\OpenSSH-Win
- Запускаем командную строку PowerShell с правами администратора и переходим в каталог OpenSSH:
Cd C:\OpenSSH-Win - Сгенерируем SSH ключи сервера (нужны для запуска службы sshd):
ssh-keygen.exe -A
generating new host keys: RSA DSA ECDSA ED25519 - Разрешим в файерволе Windows входящий трафик на порт 22 (наш SSH сервер):
New-NetFirewallRule -Protocol TCP -LocalPort 22 -Direction Inbound -Action Allow -DisplayName SSH
Примечание. Предыдущая команда не будет работать на клиентской ОС. В этом случае используется другая команда:
netsh advfirewall firewall add rule name='SSH Port' dir=in action=allow protocol=TCP localport=22 - Чтобы разрешить аутентификацию по ключам:
powershell.exe .\install-sshlsa.ps1 - Перезагрузите сервер:
Restart-Computer - Откройте в любом текстовом редакторе конфигурационный файл C:\OpenSSH-Win\sshd_config, найдите и измените значение директивы Subsystem sftp на C:\OpenSSH-Win\sftp-server.exe
- Установим службу sshd
.\sshd.exe install
- Укажем, что она должна запускаться автоматически при старте системы и запустим ее:
Set-Service sshd -StartupType AutomaticStart-Service sshd
Примечание. В моем случае служба SSHD на Windows Server 2012 R2 отказалась запускаться с ошибкой:
net start sshd
The SSHD service is starting.
The SSHD service could not be started.
A system error has occurred.
System error 1067 has occurred.
The process terminated unexpectedly.
При ручном запуске файла sshd.exe без параметров ошибка более информативная, но все равно не достаточная для решения проблемы.
.\sshd.exe
[Build Mar 19 2016 22:36:41]
key_load_private: insufficient buffer space
Could not load host key: ssh_host_rsa_key
key_load_private: insufficient buffer space
Could not load host key: ssh_host_dsa_key
key_load_private: insufficient buffer space
Could not load host key: ssh_host_ecdsa_key
key_load_private: insufficient buffer space
Could not load host key: ssh_host_ed25519_key
Disabling protocol version 2. Could not load host key
Как оказалось, это известная бага релиза от 19.03.2016. Разработчики обещают исправить ее в следующих релизах. Пока рекомендуется использовать версию OpenSSH-Win64-1.1.
Тестируем SFTP подключение
Попробуем подключиться к поднятому нами SSH серверу по протоколу SFTP. Для этих целей воспользуемся свободным клиентом WinSCP.
В окне настройки подключения выберем протокол передачи файлов SFTP, укажем им сервера и авторизационные данные учетной записи Windows, под которой осуществляется подключение (возможно также настроить авторизацию по ключам).
При первом подключении появится окно с предупреждением о том, что ключ хоста отсутствует в локальном кеше.
Если все настроено правильно, клиент должен подключиться к SFTP серверу и отобразить список файлов в домашнем каталоге пользователя (по умолчанию каталог с профилем пользователя).
С помощью привычного интерфейса файлового менеджера можно безопасно копировать файлы между сервером и клиентом. Передача файлов будет осуществляться по защищённому протоколу SFTP.
Удаление службы Win32 OpenSSH
Чтобы корректно удалить службу Win32 OpenSSH из системы:
- Откроем консоль Powershell с правами администратора
- Остановим службу SSHD:
Stop-Service sshd - Удалим службу:
.\sshd.exe uninstall - Удалим ключи:
powershell .\uninstall-sshlsa.ps1
аутентификацию по ключам дает ошибку:
.\install-sshlsa.ps1 : File C:\OpenSSH-Win32\install-sshlsa.ps1 cannot be loaded. The file
C:\OpenSSH-Win32\install-sshlsa.ps1 is not digitally signed. You cannot run this script on the current system. For
more information about running scripts and setting execution policy, see about_Execution_Policies at
http://go.microsoft.com/fwlink/?LinkID=135170.
At line:1 char:1
+ .\install-sshlsa.ps1
+ ~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : SecurityError: (:) [], PSSecurityException
+ FullyQualifiedErrorId : UnauthorizedAccess
В свойствах файла install-sshlsa.ps1 нажмите кнопку «Разблокировать» (аналогично статье http://winitpro.ru/index.php/2015/03/06/otklyuchaem-preduprezhdenie-sistemy-bezopasnosti-v-windows-7/#h2_1)
Если не поможет придется либо подписать скрипт, либо разрешить выполнение неподписанных PosH скриптов (только в рамках данной
сессии)
Set-ExecutionPolicy -Scope MachinePolicy -ExecutionPolicy Bypass
Либо политикой:
Computer Configuration > Administrative Templates > Windows Components > Windows PowerShell. “Turn on Script Execution” : Allow all scripts
спасибо за статью. все поднялось, по 22 порту доступно, а есть ссылки на статьи, как добавить авторизацию по ldap или как прописать пользователей, где прописывать шары, на которые будет выкидывать после авторизации. видимо эта статья это часть настройки с 0?
powershell.exe .\install-sshlsa.ps1
выпадает в ошибку:
Произошла ошибка при вызове метода, так как [Microsoft.Win32.RegistryKey] не со держит метод с именем "OpenBaseKey".D:\openssh-win64\install-sshlsa.ps1:4 знак:50
+ $reg = [Microsoft.Win32.RegistryKey]::OpenBaseKey <<<< ('LocalMachine', 0)
+ CategoryInfo : InvalidOperation: (OpenBaseKey:String) [], Runti
meException
+ FullyQualifiedErrorId : MethodNotFound
Какая ОС?
win7максимальная
у меня на релизе v0.0.14.0 , для устранение етой ошибки надо поменять название файла с C:\OpenSSH-Win32\install-sshlsa.ps1 на C:\OpenSSH-Win32\install-sshd.ps1