Kuidas kaitsta vsFTPd-d SSL/TLS-iga

Väga turvaline FTP deemon või lihtsalt vsFTPd on kerge tarkvara, millel on suurepärane võimalus kohandada. Selles õpetuses kindlustame juba olemasoleva installi Debiani süsteemis, kasutades meie enda allkirjastatud SSL/TLS sertifikaati. Vaatamata sellele, et see on kirjutatud Debiani jaoks, peaks see töötama enamiku Linuxi distributsioonidega, nagu näiteks Ubuntu ja CentOS.

vsFTPd installimine

Värskele Linuxi VPS-ile peate esmalt installima vsFTPd. Kuigi vsFTPd installimise põhitoimingud leiate sellest õpetusest, soovitan teil lugeda ka neid kahte üksikasjalikumat õpetust: vsFTPd seadistamine Debianis/Ubuntus ja vsFTPd installimine CentOS-is . Seal on kõik paigaldusega seotud sammud põhjalikumalt lahti seletatud.

Installimine Debianile/Ubuntule:

apt-get install vsftpd

Installimine CentOS-i:

yum install epel-release
yum install vsftpd

Seadistamine Avage oma lemmiktekstiredaktoris konfiguratsioonifail: /etc/vsftpd.conf , selles õpetuses kasutame nano.

nano /etc/vsftpd.conf

Kleepige konfiguratsiooni järgmised read:

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

Lõpetage oma vsFTPd deemoni taaskäivitamisega:

/etc/init.d/vsftpd restart

Nüüd peaksite saama FTP kaudu sisse logida mis tahes kohaliku kasutajana. Nüüd liigume edasi ja turvame selle tarkvara.

Looge ise allkirjastatud sertifikaat

Ise allkirjastatud sertifikaati kasutatakse tavaliselt avaliku võtme lepinguprotokollis, nüüd opensslsaate luua avaliku võtme ja vastava privaatvõtme. Kõigepealt peame nende kahe võtmefaili salvestamiseks looma kataloogi, eelistatavalt turvalises kohas, kuhu tavakasutajad ei pääse.

mkdir -p /etc/vsftpd/ssl

Nüüd, sertifikaadi tegeliku genereerimise juurde, salvestame mõlemad võtmed samasse faili ( /etc/vsftpd/ssl/vsftpd.pem ):

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

Pärast käsu täitmist esitatakse teile mõned küsimused, nagu riigikood, osariik, linn, organisatsiooni nimi jne. Kasutage enda või oma organisatsiooni teavet. Nüüd on kõige olulisem rida tavanimi, mis peab ühtima teie VPS-i IP-aadressiga, või sellele osutav domeeninimi.

See sertifikaat kehtib 365 päeva (~1 aasta), see kasutab RSA võtmelepingu protokolli võtmepikkusega 4096 bitti ja mõlemat võtit sisaldav fail salvestatakse meie äsja loodud uude kataloogi. Lisateavet võtme pikkuse ja selle turvalisuse kohta leiate siit: Krüpteerimise II soovitused .

Installige uus sertifikaat vsFTPd-sse

Uue sertifikaadi kasutamise alustamiseks ja seega krüptimise tagamiseks peame konfiguratsioonifaili uuesti avama:

nano /etc/vsftpd.conf

Peame lisama teed meie uuele sertifikaadile ja võtmefailidele. Kuna need on salvestatud samasse faili, peaks see olema sama ka konfiguratsioonis.

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

Peame lisama selle rea, et veenduda SSL-i lubamises:

ssl_enable=YES

Valikuliselt võime blokeerida anonüümsed kasutajad SSL-i kasutamise, kuna avalikus FTP-serveris pole krüptimist vaja.

allow_anon_ssl=NO

Järgmisena peame määrama, millal kasutada SSL/TLS-i, see võimaldab krüptimist nii andmeedastuseks kui ka sisselogimismandaatideks

force_local_data_ssl=YES
force_local_logins_ssl=YES

Samuti võime määrata, milliseid versioone ja protokolle kasutada. TLS on üldiselt turvalisem kui SSL ja seetõttu võime lubada TLS-i ja samal ajal blokeerida SSL-i vanemad versioonid.

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

SSL-i korduskasutamise nõudmine ja kõrgete šifrite kasutamine aitab samuti turvalisust parandada. vsFTPd man-lehtedelt:

require_ssl_reuse If set to yes, all SSL data connections are required to exhibit SSL session reuse (which proves that they know the same master secret as the control channel). Although this is a secure default, it may break many FTP clients, so you may want to disable it. For a discussion of the consequences, see http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html (Added in v2.1.0).

ssl_ciphers This option can be used to select which SSL ciphers vsftpd will allow for encrypted SSL connections. See the ciphers man page for further details. Note that restricting ciphers can be a useful security precaution as it prevents malicious remote parties forcing a cipher which they have found problems with.

require_ssl_reuse=YES
ssl_ciphers=HIGH

Lõpetage vsftpddeemon taaskäivitades

/etc/init.d/vsftpd restart

Kinnitage installimine

Ja kõik. Nüüd peaksite saama oma serveriga ühenduse luua ja kinnitada, et kõik töötab. Kui kasutate FileZillat, peaks ühenduse loomisel avanema dialoog, mis sisaldab teie organisatsiooni teavet (või seda, mida olete varem sertifikaadi loomisel sisestanud). Väljund peaks siis välja nägema sarnane:

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

VsFTPd kohta lisateabe saamiseks vaadake selle käsiraamatu lehti:

man vsftpd