Sådan sikrer du vsFTPd med SSL/TLS

Meget sikker FTP-dæmon, eller blot vsFTPd er et let stykke software med stor evne til at tilpasse. I denne vejledning skal vi sikre en allerede eksisterende installation på et Debian-system ved hjælp af vores eget selvsignerede SSL/TLS-certifikat. Selvom det er skrevet til Debian, burde det fungere på de fleste Linux-distributioner, såsom Ubuntu og CentOS for eksempel.

Installation af vsFTPd

På en frisk Linux VPS skal du først installere vsFTPd. Selvom du vil finde de grundlæggende trin til at installere vsFTPd i denne tutorial, anbefaler jeg dig også at læse disse to mere detaljerede tutorials: Opsætning vsFTPd på Debian/Ubuntu og Installation af vsFTPd på CentOS . Alle trin vedrørende installationen er mere nøje forklaret der.

Installation på Debian/Ubuntu:

apt-get install vsftpd

Installation på CentOS:

yum install epel-release
yum install vsftpd

Konfiguration Åbn konfigurationsfilen: /etc/vsftpd.conf i din foretrukne teksteditor, i denne tutorial bruger vi nano.

nano /etc/vsftpd.conf

Indsæt følgende linjer i konfigurationen:

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

Afslut ved at genstarte din vsFTPd-dæmon:

/etc/init.d/vsftpd restart

Du skulle nu være i stand til at logge ind som enhver lokal bruger over FTP, lad os nu gå videre og sikre denne software.

Generer et selvsigneret certifikat

Et selvsigneret certifikat bruges typisk i en offentlig nøgleaftaleprotokol, som du nu vil bruge openssltil at generere en offentlig nøgle og en tilsvarende privat nøgle. Først og fremmest skal vi lave en mappe til at gemme disse to nøglefiler, helst på et sikkert sted, normale brugere ikke kan få adgang til.

mkdir -p /etc/vsftpd/ssl

Nu til den faktiske generering af certifikatet, vil vi gemme begge nøgler i den samme fil ( /etc/vsftpd/ssl/vsftpd.pem ):

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

Efter at have udført kommandoen vil du blive stillet et par spørgsmål såsom landekode, stat, by, organisationsnavn osv. brug dine egne eller din organisations oplysninger. Nu er den vigtigste linje fællesnavnet, som skal matche IP-adressen på din VPS, alternativt et domænenavn, der peger på det.

Dette certifikat vil være gyldigt i 365 dage (~1 år), det vil bruge RSA-nøgleaftaleprotokollen med en nøglelængde på 4096 bit, og filen, der indeholder begge nøgler, vil blive gemt i den nye mappe, vi lige har oprettet. For flere detaljer om nøglelængde og dens relation til sikkerhed se dette: Encryption II-anbefalinger .

Installer det nye certifikat i vsFTPd

For at begynde at bruge vores nye certifikat og dermed give kryptering, skal vi åbne konfigurationsfilen igen:

nano /etc/vsftpd.conf

Vi skal tilføje stierne til vores nye certifikat og nøglefiler. Da de er gemt i den samme fil, bør det også være det samme inde i konfigurationen.

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

Vi skal tilføje denne linje for at sikre, at SSL bliver aktiveret:

ssl_enable=YES

Eventuelt kan vi blokere anonyme brugere fra at bruge SSL, da kryptering ikke er nødvendig på en offentlig FTP-server.

allow_anon_ssl=NO

Dernæst skal vi specificere, hvornår vi skal bruge SSL/TLS, dette vil aktivere kryptering både til dataoverførsel og login-legitimationsoplysninger

force_local_data_ssl=YES
force_local_logins_ssl=YES

Vi kan også specificere, hvilke versioner og protokoller der skal bruges. TLS er generelt mere sikkert end SSL, og derfor kan vi tillade TLS og samtidig blokere ældre versioner af SSL.

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

Kræv SSL-genbrug, og brugen af ​​høje cifre vil også hjælpe med at forbedre sikkerheden. Fra vsFTPd's man-sider:

require_ssl_reuse If set to yes, all SSL data connections are required to exhibit SSL session reuse (which proves that they know the same master secret as the control channel). Although this is a secure default, it may break many FTP clients, so you may want to disable it. For a discussion of the consequences, see http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html (Added in v2.1.0).

ssl_ciphers This option can be used to select which SSL ciphers vsftpd will allow for encrypted SSL connections. See the ciphers man page for further details. Note that restricting ciphers can be a useful security precaution as it prevents malicious remote parties forcing a cipher which they have found problems with.

require_ssl_reuse=YES
ssl_ciphers=HIGH

Afslut ved at genstarte vsftpddæmonen

/etc/init.d/vsftpd restart

Bekræft installationen

Og det er det, du skulle nu være i stand til at oprette forbindelse til din server og bekræfte, at alt fungerer. Hvis du bruger FileZilla, skulle en dialogboks indeholdende din organisationsoplysninger (eller hvad du nu indtastede, da du genererede certifikatet tidligere) åbne ved forbindelse. Outputtet skulle så se sådan ud:

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

For at lære mere om vsFTPd, tjek dens manualsider:

man vsftpd