Notre société est en train de suivre des procédures pour garantir sa conformité à la norme PCI.
Mon site hébergeur me dit qu'il a désactivé les ports passifs afin de passer les analyses PCI. Cela a pour effet de désactiver les téléchargements via ftp. De toute évidence, je dois encore pouvoir télécharger les modifications sur le site.
Le site est sur un serveur Windows. Je peux donc actuellement déplacer les fichiers via la connexion Bureau à distance, mais ceci est quelque peu gênant et dépend de la plate-forme. Existe-t-il d'autres moyens de télécharger le site et de rester conforme à la norme PCI? Les ports passifs doivent-ils vraiment être fermés pour passer les scans?
SCP/SFTP, fourni par la plupart des implémentations SSH, est ce que j'utilise pour à peu près tous les transferts de fichiers distants simples. Ceci est disponible dans toute configuration Linux/BSD par défaut ou très facile à installer/installer et il existe plusieurs options pour Windows, y compris cygwin qui inclut un port du même client OpenSSH et des mêmes serveurs utilisés par la plupart des systèmes Linux les configurations.
Une autre option consiste à configurer un VPN, en utilisant quelque chose comme OpenVPN, que vous connectez au serveur, vous pouvez alors FTP sur celui-ci sans rendre le service FTP disponible au monde extérieur (ou utiliser toute autre option de transfert de fichier telle que l’utilisation directe de partages Windows ).
FTP peut fonctionner sans son mode passif dans de nombreux cas, mais je recommanderais quand même de s’éloigner de FTP pour diverses raisons:
Une autre bonne option pour mettre à jour efficacement le contenu distant à partir d'une référence locale est rsync sur ssh, qui envoie très bien le minimum nécessaire pour mettre à jour l'extrémité distante. Je l'utilise pour conserver des copies de sauvegarde hors site, etc.
Remarque: Ne confondez pas SFTP avec FTPS. SFTP est le "protocole de transfert de fichiers SSH" et FTPS, le "FTP sur SSL", qui résout les problèmes de sécurité liés au cryptage, mais pas les autres inconvénients du FTP.