FTPS vs. SFTP - der praktische Unterschied in Kürze

Gerne vertauscht und Stolperfalle für jeden Legastheniker: FTPS und SFTP bieten zwar beide die Möglichkeit, verschlüsselt Anmeldungsdaten und Dateien zu übertragen, haben aber ansonsten nicht viel gemeinsam.

Wir wollen hier kurz einen praktischen Überblick über die Unterschiede liefern (wer es genauer wissen möchte, bekommt bei Google detaillierte Hilfe):

FTPS: FTP-SSL

• Basiert auf dem FTP-Protkoll und benötigt daher einen FTP-Server auf dem Host. Es erweitert das Protkoll um SSL/TLS, FTP/FTPS kann also analog zu HTTP/HTTPS gesehen werden.
• FTP-Server sollten immer mit FTPS konfiguriert sein. Sonst werden Anmeldung und Daten unverschlüsselt und damit abhörbar und manipulierbar, übertragen.
• Die Verschlüsselung erfolgt wie bei HTTPS über ein SSL-Zertifikat. Dieses kann kommerziell, nicht-kommerziell (zum Beispiel "Let's Encrypt") oder selbst-signiert sein (bei letzterem muss das Zertifikat einmalig im Client akzeptiert werden).
• Die Benutzerverwaltung erfolgt getrennt von den System-Nutzern, die Anmeldung erfolgt in der Regel mit Benutzername und Passwort.
• Der Benutzer darf nur auf sein (konfigurierbares) Stammverzeichnis und darunter liegende Verzeichnisse zugreifen.
• Sowohl server- wie clientseitig müssen auf der Firewall die Port-Ranges für Passive Mode berücksichtigt werden.

SFTP - SSH File Transfer Protocol

• Basiert auf dem SSH Protokoll und benötigt daher in der Regel auf Linux-Systemen neben der grundsätzlichen Einrichtung von SSH keine weitere Konfiguration.
• Die Authentifizierung erfolgt über SSH und dadurch auch mit der gleichen Konfiguration (SSH-Ports, Passwort-Login erlaubt oder nicht, etc). Die Authentifizierung kann auch per SSH-Key erfolgen.
• Die Benutzer und ihre Anmeldung entsprechen den am Host angelegten Benutzern.
• Das gilt auch für Berechtigungen - der Benutzer darf per SFTP alles was er generell auf dem System darf. Das Einschränken auf ein spezifisches Verzeichnis ist nur mit Mehraufwand möglich.
• Im Firewalling deutlich einfacher, da nur der SSH-Port genutzt wird.

Auf den Punkt gebracht: SFTP ist nur für Benutzer geeignet, denen man auch SSH Zugang zum Server ermöglichen will bzw. die diesen Zugang schon haben. Will man Benutzern nur den Zugriff auf ein bestimmtes Verzeichnis ermöglichen, sollte ein FTP-Server mit FTPS zum Einsatz kommen.