需要使用 delphi 应用程序引导 SSH 隧道

Question

我创建了一个 Delphi 2010 应用程序。该地区的许多公司（从受信任的用户到不受信任的用户）都在使用它。该应用程序使用 MySQL MD5 加密密码对用户进行身份验证。接下来，应用程序需要通过 ftp 上传和下载许多文件。

事实是：任何网络嗅探器（例如 Ethereal 也称为 WireShark）都可以从我的应用程序的 ftp 部分获取我的普通用户和密码。加密的密码也可以被窃取，任何人都可以使用任何 ftp 应用程序登录到我的服务器并做出不愉快的事情。

[TindyFTP] 用于管理 FTP 连接本身。这个对象不支持 SFTP，我认为这可能是我的问题的结束。

DEVART 的[tMyMac] 用于管理 MYSQL 连接。

现在我的观点是什么： 使用 SSH 隧道来控制我的应用程序上的两种（ftp 和 mysql）事务类型的 IO 处理程序是一个好方法吗？我现在正在使用 DEVART 的 SecureBridge 进行一些测试，该测试兼容带有 MyDAC 组件和 TIndy。

我是否只需要连接到 SSH 隧道并使用 mysql 和 ftp 进行操作？ 使用 SSH 隧道时是否还需要加密 ftp 密码？ 对于 MySQL 部分，当我尝试使用 WireShark 拦截密码时，密码似乎被加密或混淆。

感谢您让我知道您的想法，而无需更改我的程序的所有结构，该程序已完成 99％:)

谢谢， 乔纳森

Answer 1

首先，您需要确定您应该/可以使用什么协议。 FTP 不是 SFTP，并且基于 SSH 的 FTP 也没什么意义（尽管这是可能的）。让我们回顾一下选项：

1. 使用 FTPS (FTP-over-SSL)。要求您的 FTP 服务器具有 SSL 证书，否则它是一个 vialbe 选项。缺点：不保护 MySQL 连接。
2. 使用 FTP over SSH 隧道。如果可以使用 SFTP，不明白为什么有人会这样做。 Indy 和我们的 SecureBlackbox 产品可以通过 SSH 进行 FTP。
3. 使用 SFTP（SSH 文件传输协议）传输文件并使用 SSH 端口转发来保护 MySQL 连接。从技术上讲，可以通过一个已建立的 SSH 会话来运行 SFTP 子系统和端口转发，以及我们的 SecureBlackbox< /a> 支持这一点。不过，我不了解 DevArt 的东西，因为他们的 SSH/SFTP 客户端还很年轻，并且可能有某些限制。

如果你有一个Linux服务器（MySQL建议你有），那么它有OpenSSH作为SSH服务器，并且OpenSSH有内置的SFTP服务器。如果你在 Windows 上运行 MySQL，你将很难在 Windows 上使用 OpenSSH 端口，而 Bitvise SSH 服务器将是一个更好的选择（我们自己在内部服务器上使用它）。

如果 SFTP 身份验证和加密是在 SSH 级别执行的，则不需要
不必担心进一步保护用于身份验证的密码——它已经通过 SSH 进行了保护。不过，您需要关心的是验证服务器向客户端提供的 SSH 密钥。您可以通过在客户端模块中存储服务器密钥的副本来完成此操作（请记住，您可能需要不时替换服务器密钥，因此不要在客户端模块中对其进行硬编码）。

如果您决定采用 FTP-over-SSH 路线（尽管我不明白为什么您需要这样做），您仍然不需要保护 FTP 密码，因为您将通过安全 SSH 隧道运行 FTP。

Answer 2

Indy 10 中的 TIdFTP 确实支持连接级别 (SSL/TLS) 和登录凭据级别 (SASL) 的加密。