Hvernig á að tryggja vsFTPd með SSL/TLS

Mjög öruggur FTP púki , eða einfaldlega vsFTPd, er léttur hugbúnaður með mikla getu til að sérsníða. Í þessari kennslu ætlum við að tryggja þegar fyrirliggjandi uppsetningu á Debian kerfi með því að nota okkar eigin sjálf-undirritaða SSL/TLS vottorð. Þrátt fyrir að það sé skrifað fyrir Debian ætti það að virka á flestum Linux dreifingum eins og Ubuntu og CentOS til dæmis.

Uppsetning vsFTPd

Á ferskum Linux VPS þarftu fyrst að setja upp vsFTPd. Þó að þú finnir grunnskrefin til að setja upp vsFTPd í þessari kennslu mæli ég með að þú lesir þessar tvær ítarlegri kennsluefni líka: Uppsetning vsFTPd á Debian/Ubuntu og Uppsetning vsFTPd á CentOS . Öll skref varðandi uppsetninguna eru nánar útskýrð þar.

Uppsetning á Debian/Ubuntu:

apt-get install vsftpd

Uppsetning á CentOS:

yum install epel-release
yum install vsftpd

Stillingar Opnaðu stillingarskrána: /etc/vsftpd.conf í uppáhalds textaritlinum þínum, í þessari kennslu sem við notum nano.

nano /etc/vsftpd.conf

Límdu eftirfarandi línur inn í stillingarnar:

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

Ljúktu við með því að endurræsa vsFTPd púkann þinn:

/etc/init.d/vsftpd restart

Þú ættir nú að geta skráð þig inn sem hvaða staðbundnu notanda sem er yfir FTP, nú skulum við halda áfram og tryggja þennan hugbúnað.

Búðu til sjálfstætt undirritað vottorð

Sjálfundirritað vottorð er venjulega notað í samskiptareglum um opinbera lykla, þú munt nú nota openssltil að búa til opinberan lykil og samsvarandi einkalykil. Fyrst af öllu þurfum við að búa til möppu til að geyma þessar tvær lykilskrár, helst á öruggum stað sem venjulegir notendur hafa ekki aðgang að.

mkdir -p /etc/vsftpd/ssl

Nú til raunverulegrar myndunar vottorðsins, ætlum við að geyma báða lyklana í sömu skránni ( /etc/vsftpd/ssl/vsftpd.pem ):

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

Eftir að þú hefur framkvæmt skipunina verður þú spurður nokkurra spurninga eins og landskóða, ríki, borg, nafn fyrirtækis o.s.frv. notaðu þínar eigin upplýsingar eða þínar stofnanir. Nú er mikilvægasta línan almenna nafnið sem verður að passa við IP tölu VPS þíns, að öðrum kosti lén sem bendir á það.

Þetta vottorð mun gilda í 365 daga (~1 ár), það mun nota samskiptareglur RSA lykla með 4096 bita lyklalengd og skráin sem inniheldur báða lyklana verður geymd í nýju möppunni sem við bjuggum til. Fyrir frekari upplýsingar um lyklalengd og tengsl hans við öryggi sjá þetta: Encryption II ráðleggingar .

Settu upp nýja vottorðið í vsFTPd

Til að byrja að nota nýja vottorðið okkar og veita þannig dulkóðun, þurfum við að opna stillingarskrána aftur:

nano /etc/vsftpd.conf

Við þurfum að bæta slóðunum við nýju vottorðið okkar og lykilskrár. Þar sem þeir eru geymdir í sömu skrá ætti það að vera það sama inni í uppsetningunni líka.

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

Við verðum að bæta þessari línu við til að tryggja að SSL verði virkt:

ssl_enable=YES

Valfrjálst gætum við hindrað nafnlausa notendur frá því að nota SSL, þar sem dulkóðunar er ekki þörf á opinberum FTP netþjóni.

allow_anon_ssl=NO

Næst þurfum við að tilgreina hvenær á að nota SSL/TLS, þetta mun virkja dulkóðun bæði fyrir gagnaflutning og innskráningarskilríki

force_local_data_ssl=YES
force_local_logins_ssl=YES

Við gætum einnig tilgreint hvaða útgáfur og samskiptareglur á að nota. TLS er almennt öruggara en SSL og því gætum við leyft TLS og á sama tíma lokað á eldri útgáfur af SSL.

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

Krefjast SSL endurnotkunar og notkun háa dulmáls mun einnig hjálpa til við að bæta öryggið. Af mannasíðum vsFTPd:

require_ssl_reuse If set to yes, all SSL data connections are required to exhibit SSL session reuse (which proves that they know the same master secret as the control channel). Although this is a secure default, it may break many FTP clients, so you may want to disable it. For a discussion of the consequences, see http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html (Added in v2.1.0).

ssl_ciphers This option can be used to select which SSL ciphers vsftpd will allow for encrypted SSL connections. See the ciphers man page for further details. Note that restricting ciphers can be a useful security precaution as it prevents malicious remote parties forcing a cipher which they have found problems with.

require_ssl_reuse=YES
ssl_ciphers=HIGH

Ljúktu með því að endurræsa vsftpdpúkann

/etc/init.d/vsftpd restart

Staðfestu uppsetningu

Og það er það, þú ættir nú að geta tengst við netþjóninn þinn og staðfest að allt virki. Ef þú ert að nota FileZilla ætti gluggi sem inniheldur upplýsingar um fyrirtækið þitt (eða hvað sem þú slóst inn þegar þú bjóst til skírteinið áðan) að opnast við tengingu. Úttakið ætti þá að líta svipað út:

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

Til að læra meira um vsFTPd skaltu skoða handbókarsíðurnar:

man vsftpd