Hvordan sikre vsFTPd med SSL/TLS

Very Secure FTP-daemon, eller ganske enkelt vsFTPd, er en lett programvare med stor evne til å tilpasse. I denne opplæringen skal vi sikre en allerede eksisterende installasjon på et Debian-system ved å bruke vårt eget selvsignerte SSL/TLS-sertifikat. Til tross for at den er skrevet for Debian, burde den fungere på de fleste Linux-distribusjoner som for eksempel Ubuntu og CentOS.

Installasjon av vsFTPd

På en fersk Linux VPS må du først installere vsFTPd. Selv om du finner de grunnleggende trinnene for å installere vsFTPd i denne opplæringen, anbefaler jeg deg å lese disse to mer detaljerte veiledningene også: Oppsett vsFTPd på Debian/Ubuntu og Installere vsFTPd på CentOS . Alle trinn angående installasjonen er mer nøye forklart der.

Installasjon på Debian/Ubuntu:

apt-get install vsftpd

Installasjon på CentOS:

yum install epel-release
yum install vsftpd

Konfigurasjon Åpne konfigurasjonsfilen: /etc/vsftpd.conf i din favoritt tekstredigerer, i denne opplæringen bruker vi nano.

nano /etc/vsftpd.conf

Lim inn følgende linjer i konfigurasjonen:

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

Avslutt ved å starte vsFTPd-demonen på nytt:

/etc/init.d/vsftpd restart

Du skal nå kunne logge på som enhver lokal bruker over FTP, la oss nå gå videre og sikre denne programvaren.

Generer et selvsignert sertifikat

Et selvsignert sertifikat brukes vanligvis i en offentlig nøkkelavtaleprotokoll, du vil nå bruke openssltil å generere en offentlig nøkkel og en tilsvarende privat nøkkel. Først av alt må vi lage en katalog for å lagre disse to nøkkelfilene, helst på et trygt sted som vanlige brukere ikke har tilgang til.

mkdir -p /etc/vsftpd/ssl

Nå til den faktiske genereringen av sertifikatet, skal vi lagre begge nøklene i samme fil ( /etc/vsftpd/ssl/vsftpd.pem ):

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

Etter å ha utført kommandoen vil du bli stilt noen spørsmål som landskode, stat, by, organisasjonsnavn osv. bruk din egen eller din organisasjonsinformasjon. Nå er den viktigste linjen Common name som må samsvare med IP-adressen til din VPS, alternativt et domenenavn som peker på det.

Dette sertifikatet vil være gyldig i 365 dager (~1 år), det vil bruke RSA-nøkkelavtaleprotokollen med en nøkkellengde på 4096 biter, og filen som inneholder begge nøklene vil bli lagret i den nye katalogen vi nettopp opprettet. For mer informasjon om nøkkellengde og dens forhold til sikkerhet, se dette: Encryption II-anbefalinger .

Installer det nye sertifikatet i vsFTPd

For å begynne å bruke vårt nye sertifikat og dermed gi kryptering, må vi åpne opp konfigurasjonsfilen igjen:

nano /etc/vsftpd.conf

Vi må legge til banene til våre nye sertifikater og nøkkelfiler. Siden de er lagret i samme fil, bør det også være det samme inne i konfigurasjonen.

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

Vi må legge til denne linjen for å sikre at SSL blir aktivert:

ssl_enable=YES

Eventuelt kan vi blokkere anonyme brukere fra å bruke SSL, siden kryptering ikke er nødvendig på en offentlig FTP-server.

allow_anon_ssl=NO

Deretter må vi spesifisere når vi skal bruke SSL/TLS, dette vil aktivere kryptering både for dataoverføring og påloggingsinformasjon

force_local_data_ssl=YES
force_local_logins_ssl=YES

Vi kan også spesifisere hvilke versjoner og protokoller som skal brukes. TLS er generelt sikrere enn SSL og derfor kan vi tillate TLS og samtidig blokkere eldre versjoner av SSL.

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

Krev SSL-gjenbruk og bruk av høye chiffer vil også bidra til å forbedre sikkerheten. Fra vsFTPds man-sider:

require_ssl_reuse If set to yes, all SSL data connections are required to exhibit SSL session reuse (which proves that they know the same master secret as the control channel). Although this is a secure default, it may break many FTP clients, so you may want to disable it. For a discussion of the consequences, see http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html (Added in v2.1.0).

ssl_ciphers This option can be used to select which SSL ciphers vsftpd will allow for encrypted SSL connections. See the ciphers man page for further details. Note that restricting ciphers can be a useful security precaution as it prevents malicious remote parties forcing a cipher which they have found problems with.

require_ssl_reuse=YES
ssl_ciphers=HIGH

Avslutt ved å starte vsftpddemonen på nytt

/etc/init.d/vsftpd restart

Bekreft installasjonen

Og det er det, du skal nå kunne koble til serveren din og bekrefte at alt fungerer. Hvis du bruker FileZilla, bør en dialogboks som inneholder organisasjonsinformasjonen din (eller hva du skrev inn da du genererte sertifikatet tidligere) åpnes ved tilkobling. Utgangen skal da se slik ut:

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

For å lære mer om vsFTPd, sjekk ut dens manuelle sider:

man vsftpd