Если я должен отключить пассивные порты, чтобы быть совместимым с PCI, как мне загрузить свой веб-сайт?

Question

Если я должен отключить пассивные порты, чтобы быть совместимым с PCI, как мне загрузить свой веб-сайт?

Наша компания проходит процедуры для обеспечения соответствия требованиям PCI.

Хост моего сайта сообщает мне, что они отключили пассивные порты, чтобы пройти сканирование PCI. Это приводит к отключению загрузки по ftp. Очевидно, мне все еще нужно иметь возможность загружать изменения на сайт.

Сайт находится на сервере Windows. Поэтому в настоящее время я могу перемещать файлы через подключение к удаленному рабочему столу, но это несколько неудобно и зависит от платформы. Здесь есть ли другие способы загрузить сайт и оставаться совместимым с PCI? Действительно ли пассивные порты должны быть закрыты для прохождения сканирования?

1

ftp pci-compliance

Author: fearoffours, 2010-08-05

Source

2 answers

Другими вариантами являются SSH и SFTP . Большинство FTP-клиентов также должны позволять вам использовать вместо этого SSH/SFTP.

0

Author: Virtuosi Media, 2010-08-05 09:00:29

score 8 · Accepted Answer

SCP/SFTP, предоставляемый большинством реализаций SSH, - это то, что я использую практически для любой простой удаленной передачи файлов. Это доступно в любой установке Linux/BSD либо по умолчанию, либо очень просто в настройке/установке, и для Windows есть несколько вариантов, включая cygwin, который включает порт тех же клиентов и серверов OpenSSH, которые используются большинством установок Linux.

Другой вариант - настроить VPN, используя что-то вроде OpenVPN, который вы подключаете к серверу, затем вы можете использовать FTP через это без предоставления службы FTP для внешнего мира (или использования любого другого способа передачи файлов, такого как прямое использование общих ресурсов Windows).

Во многих случаях FTP может работать без пассивного режима, но я бы все равно рекомендовал отказаться от FTP по разным причинам:

безопасность: все отправляется простым (т.е. незашифрованным) с помощью FTP
безопасность: сюда входят ваши учетные данные для аутентификации при входе
эффективность: SCP/SFTP обычно срабатывает быстрее (особенно по каналу с высокой задержкой при отправке нескольких объектов), поскольку все это происходит по одному соединению, не требующему нового канала передачи данных для каждого объекта, такого как FTP
эффективность: SSH (и, следовательно, SCP/SFTP) поддерживают сжатие, как и большинство решений VPN, которые могут иметь значение в зависимости от того, что вы передаете
проблемы с брандмауэром/маршрутизацией: использование протоколом FTP отдельных подключений к данным для каждого передаваемого объекта может быть источником сбоя в зависимости от настроек брандмауэра на любом конце - SCP, SFTP и что-либо по ssh (например, rsync) используют одно двунаправленное соединение для всего.

Еще одним хорошим вариантом эффективного обновления удаленного контента из локальной ссылки является rsync по ssh, который очень хорошо справляется с простой отправкой минимума, необходимого для обновления удаленного конца - я использую это для сохранения резервных копий за пределами сайта и тому подобного.

Примечание: Не путайте SFTP с FTPS. SFTP - это "протокол передачи файлов SSH", а FTPS - "FTP через SSL", который решает проблемы безопасности, связанные с шифрованием, но не другие недостатки FTP.