Strato und SFTP

Will man Dateien zu seinem Webspace bei Strato hochladen, empfiehlt Strato in seiner Dokumentation unverblümt das unsichere – da unverschlüsselt – FTP-Protokoll und erwähnt verschlüsselte Varianten desselbigen mit keinem Wort. Dabei gibt es seit Jahrzehnten sichere Varianten wie das SSH File Transfer Protocol (nicht zu verwechseln mit dem unverschlüsselten Simple File Transfer Protocol) oder einem anderer verschlüsselten Verfahren, dem FTP over SSL, kurz FTPS).

Auch wenn Strato dies anscheinend nicht öffentlich kommuniziert, lässt sich das sichere SFTP mit folgenden Zugangsdaten nutzen:

Server sftp://ssh.strato.de
Benutzername eure „primäre“ Domain
Passwort das FTP-Passwort
Port 22

Auch per SSH kann man auf seinen Webspace zugreifen:

julius@notebook:~$ ssh example.org@ssh.strato.de
example.org@ssh.strato.de's password:
example.org>

Siehe auch: http://www.wolke23.de/blog/webdesign/sftp-als-schutz-gegen-netzwerk-sniffer.html

4 Gedanken zu „Strato und SFTP“

  1. Moin Julius,
    danke für die Beschreibung!
    Strato beschreibt zwar mittlerweile unter
    https://www.strato.de/faq/article/874/Sicherheit-mit-SSH-und-SFTP.html und
    https://www.strato.de/faq/article/1044/So-nutzen-Sie-Ihren-SSH-SFTP-Zugang.html
    die Nutzung von SFTP und SSH, allerdings fehlt in deren FAQ die Bedeutung und Verwendung des RSA-Schlüssels. Denn wenn ich mit Windows 7 und FireFox/FireFTP die Zugangsdaten für Port 22 eingebe, erhalte ich die Meldung, dass der
    “Rechnerschlüssel noch nicht zwischengespeichert wurde. Es gibt keine Garantie, dass der Server tatsächlich der Rechner ist, mit dem Sie sich verbindenwollen. Der Fingerabdruck des RSA2-Schlüssels lautet:
    ssh-rsa 2014
    2a:7b:2c: (…)
    Wenn Sie dem Rechner vertrauen und der Schlüssel zwischengespeichert werden soll, wählen Sie “Ja”. (…)”
    Wenn ich die Zugangsdaten einem Geschäftspartner zusende, damit er auf einen bestimmten Ordner zugreifen kann, so kann der sich ohne diesen Schlüssel nicht verbinden.
    Wie hängt das zusammen, was muss der Geschäftspartner noch bekommen?
    Bei den Verbindungseinstellungen in FireFTP gibt es auch ein Feld “privater Schlüssel”, in das man einen Dateinamen eintragen kann. Aber woher nehmen?
    Auch komisch, dass in der FAQ von Strato gefordert wird, dass man das Masterpasswort verwendet!! Das würde ich niemals weitergeben wollen.
    Gruß,
    Klaus.

    1. Hallo Klaus,

      danke für die Links, das habe ich bei meiner Recherche damals wohl übersehen oder es gab dieses Seiten tatsächlich noch nicht.

      Mit den Schlüsseln hat es folgende Bewandnis: Wenn du dich mittels eines SFTP-Clients (z. B. FileZilla) mit einem SFTP-Server verbindest, zeigt dir der Client den Schlüssel des Servers (bzw. dessen sogenannten Fingerabdruck) an, den du dann mit den auf anderem Wege übermittelten Angaben des Serverbetreibers vergleichen kannst – das ist so, als wenn er dir deinen Ausweis zeigen würde und du die Daten mit denen auf einer Liste vergleichst, um sicherzustellen, dass derjenige der ist, für den du ihn hältst. Da sich ein Schlüssel nicht passend zu einem Fingerabdruck herstellen lässt (klingt komisch, ist aber dank Hashfunktionen möglich), ist dieses System sicher. Vermutlich veröffentlicht Strato die korrekten Fingerabdrücke der Schlüssel nicht, daher ist ein Abgleich nur beschränkt möglich (wer garantiert dir, dass der jetzige Schlüssel nicht (unwahrscheinlicherweise) ein Fake ist?).

      Dass Strato nur das Masterpasswort zum SFTP-Login erlaubt, könnte technische Gründe haben – es ist sowieso keine gute Idee, FTP-Zugangsdaten weiterzugeben. Für die Fälle, wo das aber nötig wäre, ist es eine schlechte Idee von Strato, Masterpasswort und SFTP-Zugangsdaten nicht zu trennen. Ich gehe stark davon aus, dass Strato an dieser Stelle auf das unsichere FTP statt SFTP setzt, weil SFTP dem Nutzer nicht wirklich prominent angeboten wird. Andere Hoster bieten aus Sicherheitsgründen nur noch SFTP an.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.