AutoSFTP是一种实现SFTP文件传送自动化的软件。与使用SSH HostbasedAuthentication, 或用PubkeyAuthentication但私钥无密码保护方式实现SFTP文件传送自动化相比,AutoSFTP提供了一种安全得多的解决方案:使用AutoSFTP来实现SFTP文件传送自动化,甚至比以手工输入口令或密码进行SFTP文件传送的方式更安全。当您手工输入口令或密码时,如果有别的人已登录在同一主机并使用与您相同的帐号或超级用户帐号,那人如果不怀好意,便可通过使用系统调用示踪器,例如HP-UX上的tusc, 或AIX或Solaris上的truss,窃取您的口令或密码。有超级用户权限的人,还可以特洛伊木马替换SFTP程序来窃取您的口令或密码。另外,Solaris 10或更新的版本上的dtrace是一种可被不良人员用于窃取他人密码的方便工具。
AutoSFTP含有内建的系统调用示踪器,dtrace或特洛伊木马检测机制,并且加密的口令或密码文件仅可被该帐号用户用于SFTP,既不可被别的帐号使用,也不可用于SSH,无疑是实现SFTP文件传送自动化的最安全的方式。
我们的AutoSFTP用的是一种相当复杂的算法来生成对口令或密码进行加密的密钥, 并以标准的256位AES算法进行加密。以下是一个加密后的口令或密码文件的样本,用"od -c"输出:
0000000 1 m s E w I U 4 R m f R g h x 005
0000020 4 } G 005 t f 206 247 276 037 347 v 264 212 303 023
0000040 302 355 276 r | 213 270 235 U P \ 304 362 % 300 p
0000060 G 257 020 O & 373 ? d Q 232 @ 032 ] 242 \n |
0000100 N 235 315 232 G 231 360 g 017 O = 336 276 ` H
0000117
而且,每个加密后的口令文件只能被该文件的创建者所用, 既不能被同系统上的其他用户所用, 也不能被复制到其它机器上用, 相当安全。