Kaip apsaugoti vsFTPd naudojant SSL / TLS

Labai saugus FTP demonas arba tiesiog vsFTPd yra lengva programinė įranga, kurią galima pritaikyti. Šiame vadove mes ketiname apsaugoti jau esamą diegimą Debian sistemoje, naudodami mūsų pačių pasirašytą SSL/TLS sertifikatą. Nepaisant to, kad jis parašytas „Debian“, jis turėtų veikti daugelyje „Linux“ paskirstymų, tokių kaip „Ubuntu“ ir „CentOS“.

vsFTPd diegimas

Naujame Linux VPS pirmiausia turite įdiegti vsFTPd. Nors šiame vadove rasite pagrindinius vsFTPd diegimo veiksmus , rekomenduoju perskaityti ir šiuos du išsamesnius vadovėlius: „ vsFTPd“ sąranka „Debian“ / „Ubuntu“ ir „ vsFTPd“ diegimas „CentOS“ . Čia išsamiau paaiškinti visi diegimo veiksmai.

Diegimas Debian/Ubuntu:

apt-get install vsftpd

Diegimas CentOS:

yum install epel-release
yum install vsftpd

Konfigūracija Atidarykite konfigūracijos failą: /etc/vsftpd.conf savo mėgstamoje teksto rengyklėje, šioje pamokoje mes naudojame nano.

nano /etc/vsftpd.conf

Įklijuokite šias eilutes į konfigūraciją:

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

Užbaikite iš naujo paleisdami vsFTPd demoną:

/etc/init.d/vsftpd restart

Dabar turėtumėte turėti galimybę prisijungti kaip bet kuris vietinis vartotojas per FTP, dabar pereikime ir apsaugokime šią programinę įrangą.

Sukurkite savarankiškai pasirašytą sertifikatą

Savarankiškai pasirašytas sertifikatas paprastai naudojamas viešojo rakto sutarties protokole, dabar jį naudosite opensslviešajam raktui ir atitinkamam privačiam raktui generuoti. Pirmiausia turime sukurti katalogą, kuriame saugomi šie du pagrindiniai failai, pageidautina saugioje vietoje, kurios įprasti vartotojai negali pasiekti.

mkdir -p /etc/vsftpd/ssl

Dabar prie tikrojo sertifikato generavimo abu raktus saugosime tame pačiame faile ( /etc/vsftpd/ssl/vsftpd.pem ):

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

Įvykdę komandą jums bus užduodami keli klausimai, pvz., šalies kodas, valstija, miestas, organizacijos pavadinimas ir tt. Naudokite savo arba savo organizacijos informaciją. Dabar svarbiausia eilutė yra bendrasis vardas, kuris turi atitikti jūsų VPS IP adresą arba domeno vardą, nukreipiantį į jį.

Šis sertifikatas galios 365 dienas (~1 metus), jame bus naudojamas RSA rakto sutarties protokolas, kurio rakto ilgis yra 4096 bitai, o failas, kuriame yra abu raktai, bus saugomas naujame ką tik sukurtame kataloge. Norėdami gauti daugiau informacijos apie rakto ilgį ir jo ryšį su saugumu, žr.: II šifravimo rekomendacijos .

Įdiekite naują sertifikatą vsFTPd

Norėdami pradėti naudoti naują sertifikatą ir taip užtikrinti šifravimą, turime dar kartą atidaryti konfigūracijos failą:

nano /etc/vsftpd.conf

Turime pridėti kelius prie mūsų naujo sertifikato ir raktų failų. Kadangi jie saugomi tame pačiame faile, jie taip pat turėtų būti tokie patys konfigūracijoje.

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

Turime pridėti šią eilutę, kad įsitikintume, jog SSL bus įjungtas:

ssl_enable=YES

Pasirinktinai galime neleisti anoniminiams vartotojams naudoti SSL, nes viešajame FTP serveryje šifravimo nereikia.

allow_anon_ssl=NO

Toliau turime nurodyti, kada naudoti SSL/TLS, tai leis šifruoti tiek duomenims perduoti, tiek prisijungimo kredencialams

force_local_data_ssl=YES
force_local_logins_ssl=YES

Taip pat galime nurodyti, kokias versijas ir protokolus naudoti. TLS paprastai yra saugesnis nei SSL, todėl galime leisti TLS ir tuo pačiu blokuoti senesnes SSL versijas.

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

Reikalauti pakartotinai naudoti SSL, o aukštų šifrų naudojimas taip pat padės pagerinti saugumą. Iš vsFTPd vadovo puslapių:

require_ssl_reuse If set to yes, all SSL data connections are required to exhibit SSL session reuse (which proves that they know the same master secret as the control channel). Although this is a secure default, it may break many FTP clients, so you may want to disable it. For a discussion of the consequences, see http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html (Added in v2.1.0).

ssl_ciphers This option can be used to select which SSL ciphers vsftpd will allow for encrypted SSL connections. See the ciphers man page for further details. Note that restricting ciphers can be a useful security precaution as it prevents malicious remote parties forcing a cipher which they have found problems with.

require_ssl_reuse=YES
ssl_ciphers=HIGH

Užbaikite iš naujo paleisdami vsftpddemoną

/etc/init.d/vsftpd restart

Patvirtinkite diegimą

Ir viskas, dabar turėtumėte turėti galimybę prisijungti prie serverio ir patvirtinti, kad viskas veikia. Jei naudojate „FileZilla“, prisijungus turėtų atsidaryti dialogo langas, kuriame yra jūsų organizacijos informacija (arba tai, ką įvedėte kurdami sertifikatą anksčiau). Tada išvestis turėtų atrodyti panašiai:

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

Norėdami sužinoti daugiau apie vsFTPd, peržiūrėkite jo vadovo puslapius:

man vsftpd