Jak už jsem vykřikoval loni při tvé přednášce na LinuxTagu, pořád preferuji FTP-TLS/SSL (v tvém dělení FTPS) oproti řešením postaveným nad SSH. S vsftpd to celé nakonfiguruji na 3 řádky:
chroot_local_user=YES
force_local_logins_ssl=YES
force_local_data_ssl=NO
Tím zajistím, že uživatelé hlásící se jménem/heslem (tj. local users) budou v chrootu, jejich credentials budou poslány šifrovaně a data už potom nešifrovaně, tj. maximální rychlostí bez zbytečné režie.
Shell jim dám klidně /bin/false, nemusím řešit žádné jejich omezování, používají klasický FTP jak byli zvyklí.
A hlavní věc – pořád můžu mít v /etc/hosts.deny zakázáno logování přes SSH z cizích IP adres, což u SFTP nejde (pro tcpwrappers používá sftp stejné sshd jako normální ssh, ne?), jestli se nepletu.
