Kā nodrošināt vsFTPd, izmantojot SSL/TLS

Ļoti drošs FTP dēmons jeb vienkārši vsFTPd ir viegla programmatūra ar lielisku pielāgošanas iespēju. Šajā apmācībā mēs nodrošināsim jau esošu instalāciju Debian sistēmā, izmantojot mūsu pašu parakstīto SSL/TLS sertifikātu. Neskatoties uz to, ka tas ir rakstīts Debian, tam vajadzētu darboties lielākajā daļā Linux izplatījumu, piemēram, Ubuntu un CentOS.

vsFTPd instalēšana

Jaunā Linux VPS vispirms jāinstalē vsFTPd. Lai gan šajā apmācībā atradīsit vsFTPd instalēšanas pamatdarbības , iesaku izlasīt arī šīs divas detalizētākas apmācības: vsFTPd iestatīšana Debian/Ubuntu un vsFTPd instalēšana CentOS . Tur ir detalizētāk izskaidrotas visas instalēšanas darbības.

Instalēšana Debian/Ubuntu:

apt-get install vsftpd

Instalēšana uz CentOS:

yum install epel-release
yum install vsftpd

Konfigurācija Atveriet konfigurācijas failu: /etc/vsftpd.conf savā iecienītākajā teksta redaktorā, šajā apmācībā mēs izmantojam nano.

nano /etc/vsftpd.conf

Konfigurācijā ielīmējiet šādas rindiņas:

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

Pabeidziet, restartējot vsFTPd dēmonu:

/etc/init.d/vsftpd restart

Tagad jums vajadzētu būt iespējai pieteikties kā jebkuram lokālajam lietotājam, izmantojot FTP. Tagad turpināsim un nodrošināsim šo programmatūru.

Ģenerējiet pašparakstītu sertifikātu

Pašparakstīts sertifikāts parasti tiek izmantots publiskās atslēgas līguma protokolā, un tagad jūs to izmantosit, openssllai ģenerētu publisko atslēgu un atbilstošu privāto atslēgu. Pirmkārt, mums ir jāizveido direktorijs, lai saglabātu šos divus galvenos failus, vēlams drošā vietā, kam parastie lietotāji nevar piekļūt.

mkdir -p /etc/vsftpd/ssl

Tagad, lai izveidotu sertifikātu, mēs abas atslēgas saglabāsim vienā failā ( /etc/vsftpd/ssl/vsftpd.pem ):

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

Pēc komandas izpildīšanas jums tiks uzdoti daži jautājumi, piemēram, valsts kods, štats, pilsēta, organizācijas nosaukums utt. izmantojiet savu vai savas organizācijas informāciju. Tagad vissvarīgākā rinda ir parastais nosaukums, kam jāatbilst jūsu VPS IP adresei, vai arī domēna nosaukums, kas norāda uz to.

Šis sertifikāts būs derīgs 365 dienas (~1 gadu), tajā tiks izmantots RSA atslēgas līguma protokols ar atslēgas garumu 4096 biti, un fails, kurā ir abas atslēgas, tiks saglabāts jaunajā tikko izveidotajā direktorijā. Plašāku informāciju par atslēgas garumu un tā saistību ar drošību skatiet šeit: Šifrēšanas II ieteikumi .

Instalējiet jauno sertifikātu vsFTPd

Lai sāktu izmantot mūsu jauno sertifikātu un tādējādi nodrošinātu šifrēšanu, mums vēlreiz jāatver konfigurācijas fails:

nano /etc/vsftpd.conf

Mums ir jāpievieno ceļi mūsu jaunajam sertifikātam un atslēgu failiem. Tā kā tie tiek glabāti vienā failā, tiem jābūt vienādiem arī konfigurācijā.

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

Mums ir jāpievieno šī rinda, lai pārliecinātos, ka tiks iespējots SSL:

ssl_enable=YES

Pēc izvēles mēs varam bloķēt anonīmiem lietotājiem iespēju izmantot SSL, jo publiskā FTP serverī šifrēšana nav nepieciešama.

allow_anon_ssl=NO

Tālāk mums jānorāda, kad lietot SSL/TLS, tas ļaus šifrēt gan datu pārsūtīšanai, gan pieteikšanās akreditācijas datiem

force_local_data_ssl=YES
force_local_logins_ssl=YES

Mēs varam arī norādīt, kuras versijas un protokolus izmantot. TLS parasti ir drošāks par SSL, tāpēc mēs varam atļaut TLS un vienlaikus bloķēt vecākas SSL versijas.

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

Pieprasīt SSL atkārtotu izmantošanu, un augsta šifra izmantošana arī palīdzēs uzlabot drošību. No vsFTPd man lapām:

require_ssl_reuse If set to yes, all SSL data connections are required to exhibit SSL session reuse (which proves that they know the same master secret as the control channel). Although this is a secure default, it may break many FTP clients, so you may want to disable it. For a discussion of the consequences, see http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html (Added in v2.1.0).

ssl_ciphers This option can be used to select which SSL ciphers vsftpd will allow for encrypted SSL connections. See the ciphers man page for further details. Note that restricting ciphers can be a useful security precaution as it prevents malicious remote parties forcing a cipher which they have found problems with.

require_ssl_reuse=YES
ssl_ciphers=HIGH

Pabeidziet, restartējot vsftpddēmonu

/etc/init.d/vsftpd restart

Apstipriniet uzstādīšanu

Un tas arī viss. Tagad jums vajadzētu būt iespējai izveidot savienojumu ar serveri un apstiprināt, ka viss darbojas. Ja izmantojat FileZilla, izveidojot savienojumu, jāatver dialoglodziņš ar jūsu organizācijas informāciju (vai visu, ko ievadījāt, ģenerējot sertifikātu iepriekš). Izvadei vajadzētu izskatīties līdzīgi:

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

Lai uzzinātu vairāk par vsFTPd, skatiet tās rokasgrāmatas lapas:

man vsftpd