Kuinka suojata vsFTPd SSL/TLS:llä

Very Secure FTP-daemon tai yksinkertaisesti vsFTPd on kevyt ohjelmisto, jolla on suuri kyky mukauttaa. Tässä opetusohjelmassa aiomme turvata jo olemassa olevan asennuksen Debian-järjestelmään käyttämällä omaa itseallekirjoitettua SSL/TLS-sertifikaattiamme. Huolimatta siitä, että se on kirjoitettu Debianille, sen pitäisi toimia useimmissa Linux-jakeluissa, kuten esimerkiksi Ubuntu ja CentOS.

vsFTPd:n asennus

Tuoreessa Linux VPS:ssä sinun on ensin asennettava vsFTPd. Vaikka löydät tästä opetusohjelmasta vsFTPd :n asennuksen perusvaiheet , suosittelen, että luet myös nämä kaksi yksityiskohtaisempaa opetusohjelmaa: vsFTPd :n asennus Debianissa/Ubuntussa ja vsFTPd:n asentaminen CentOS:ään . Kaikki asennusvaiheet selitetään siellä tarkemmin.

Asennus Debian/Ubuntuun:

apt-get install vsftpd

Asennus CentOS:ään:

yum install epel-release
yum install vsftpd

Määritykset Avaa asetustiedosto: /etc/vsftpd.conf suosikkitekstieditorissasi, tässä opetusohjelmassa käytämme nano.

nano /etc/vsftpd.conf

Liitä seuraavat rivit kokoonpanoon:

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

Viimeistele käynnistämällä vsFTPd-daemoni uudelleen:

/etc/init.d/vsftpd restart

Sinun pitäisi nyt pystyä kirjautumaan sisään kenenä tahansa paikallisena käyttäjänä FTP:n kautta. Siirrytään nyt eteenpäin ja suojataan tämä ohjelmisto.

Luo itse allekirjoitettu varmenne

Itse allekirjoitettua varmennetta käytetään tyypillisesti julkisen avaimen sopimusprotokollassa, jota käytetään nyt openssljulkisen avaimen ja vastaavan yksityisen avaimen luomiseen. Ensinnäkin meidän on tehtävä hakemisto näiden kahden avaintiedoston tallentamiseksi, mieluiten turvallisessa paikassa, johon tavalliset käyttäjät eivät pääse käsiksi.

mkdir -p /etc/vsftpd/ssl

Nyt varmenteen varsinaiseen luomiseen, aiomme tallentaa molemmat avaimet samaan tiedostoon ( /etc/vsftpd/ssl/vsftpd.pem ):

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

Komennon suorittamisen jälkeen sinulta kysytään muutamia kysymyksiä, kuten maatunnus, osavaltio, kaupunki, organisaation nimi jne. Käytä omia tai organisaatiosi tietoja. Nyt tärkein rivi on yhteinen nimi, jonka on vastattava VPS:si IP-osoitetta, tai vaihtoehtoisesti siihen osoittava verkkotunnus.

Tämä varmenne on voimassa 365 päivää (~1 vuosi), se käyttää RSA-avainsopimusprotokollaa, jonka avaimen pituus on 4096 bittiä, ja molemmat avaimet sisältävä tiedosto tallennetaan juuri luomaan uuteen hakemistoon. Katso lisätietoja avaimen pituudesta ja sen suhteesta tietoturvaan tästä: Encryption II -suositukset .

Asenna uusi varmenne vsFTPd:hen

Aloittaaksemme uuden varmenteen käytön ja tarjotaksemme salauksen, meidän on avattava määritystiedosto uudelleen:

nano /etc/vsftpd.conf

Meidän on lisättävä polut uusiin varmenteisiin ja avaintiedostoihimme. Koska ne on tallennettu samaan tiedostoon, sen pitäisi olla sama myös kokoonpanon sisällä.

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

Meidän on lisättävä tämä rivi varmistaaksemme, että SSL on käytössä:

ssl_enable=YES

Vaihtoehtoisesti voimme estää anonyymejä käyttäjiä käyttämästä SSL:ää, koska salausta ei tarvita julkisella FTP-palvelimella.

allow_anon_ssl=NO

Seuraavaksi meidän on määritettävä milloin SSL/TLS:ää käytetään, tämä mahdollistaa sekä tiedonsiirron että kirjautumistietojen salauksen

force_local_data_ssl=YES
force_local_logins_ssl=YES

Voimme myös määrittää, mitä versioita ja protokollia käytetään. TLS on yleensä turvallisempi kuin SSL, joten voimme sallia TLS:n ja samalla estää vanhemmat SSL-versiot.

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

Vaadi SSL-uudelleenkäyttö ja korkean salauksen käyttö auttaa myös parantamaan turvallisuutta. vsFTPd:n man-sivuilta:

require_ssl_reuse If set to yes, all SSL data connections are required to exhibit SSL session reuse (which proves that they know the same master secret as the control channel). Although this is a secure default, it may break many FTP clients, so you may want to disable it. For a discussion of the consequences, see http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html (Added in v2.1.0).

ssl_ciphers This option can be used to select which SSL ciphers vsftpd will allow for encrypted SSL connections. See the ciphers man page for further details. Note that restricting ciphers can be a useful security precaution as it prevents malicious remote parties forcing a cipher which they have found problems with.

require_ssl_reuse=YES
ssl_ciphers=HIGH

Lopeta käynnistämällä vsftpddemoni uudelleen

/etc/init.d/vsftpd restart

Vahvista asennus

Ja siinä kaikki, sinun pitäisi nyt pystyä muodostamaan yhteys palvelimeesi ja varmistamaan, että kaikki toimii. Jos käytät FileZillaa, ikkunan, joka sisältää organisaatiosi tiedot (tai sen, mitä olet kirjoittanut luodessasi varmennetta aiemmin), pitäisi avautua yhteyden muodostuessa. Tuloksen pitäisi sitten näyttää tältä:

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

Jos haluat lisätietoja vsFTPd:stä, katso sen manuaaliset sivut:

man vsftpd