Kako zaščititi vsFTPd s SSL/TLS

Very Secure FTP daemon ali preprosto vsFTPd je lahek kos programske opreme z veliko možnostjo prilagajanja. V tej vadnici bomo zavarovali že obstoječo namestitev v sistemu Debian z lastnim samopodpisanim potrdilom SSL/TLS. Kljub temu, da je napisan za Debian, bi moral delovati na večini distribucij Linuxa, kot sta na primer Ubuntu in CentOS.

Namestitev vsFTPd

Na novem sistemu Linux VPS morate najprej namestiti vsFTPd. Čeprav boste v tej vadnici našli osnovne korake za namestitev vsFTPd, vam priporočam, da preberete tudi ti dve podrobnejši vadnici: Namestitev vsFTPd v Debian/Ubuntu in Namestitev vsFTPd v CentOS . Tam so podrobneje razloženi vsi koraki v zvezi z namestitvijo.

Namestitev v Debian/Ubuntu:

apt-get install vsftpd

Namestitev na CentOS:

yum install epel-release
yum install vsftpd

Konfiguracija Odprite konfiguracijsko datoteko: /etc/vsftpd.conf v svojem najljubšem urejevalniku besedil, v tej vadnici uporabljamo nano.

nano /etc/vsftpd.conf

V konfiguracijo prilepite naslednje vrstice:

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

Zaključite tako, da znova zaženete demon vsFTPd:

/etc/init.d/vsftpd restart

Zdaj bi se morali lahko prijaviti kot kateri koli lokalni uporabnik prek FTP, zdaj pa pojdimo naprej in zaščitimo to programsko opremo.

Ustvarite samopodpisano potrdilo

Samopodpisano potrdilo se običajno uporablja v protokolu pogodbe o javnem ključu, zdaj ga boste uporabljali opensslza ustvarjanje javnega ključa in ustreznega zasebnega ključa. Najprej moramo narediti imenik za shranjevanje teh dveh ključnih datotek, po možnosti na varnem mestu, do katerega običajni uporabniki ne morejo dostopati.

mkdir -p /etc/vsftpd/ssl

Zdaj k dejanski generaciji potrdila bomo oba ključa shranili v isto datoteko ( /etc/vsftpd/ssl/vsftpd.pem ):

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

Po izvedbi ukaza vam bo zastavljeno nekaj vprašanj, kot so koda države, država, mesto, ime organizacije itd. Uporabite svoje podatke ali podatke vaše organizacije. Zdaj je najpomembnejša vrstica Common name, ki se mora ujemati z naslovom IP vašega VPS, ali pa z imenom domene, ki kaže nanj.

To potrdilo bo veljavno 365 dni (~1 leto), uporabljalo bo protokol dogovora o ključu RSA z dolžino ključa 4096 bitov, datoteka, ki vsebuje oba ključa, pa bo shranjena v novem imeniku, ki smo ga pravkar ustvarili. Za več podrobnosti o dolžini ključa in njeni povezavi z varnostjo glejte tole: Priporočila za šifriranje II .

Namestite novo potrdilo v vsFTPd

Če želite začeti uporabljati naše novo potrdilo in tako zagotoviti šifriranje, moramo znova odpreti konfiguracijsko datoteko:

nano /etc/vsftpd.conf

Dodati moramo poti v naše nove datoteke potrdil in ključev. Ker so shranjeni v isti datoteki, bi morali biti enaki tudi znotraj konfiguracije.

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

Dodati moramo to vrstico, da zagotovimo, da bo SSL omogočen:

ssl_enable=YES

Po želji lahko anonimnim uporabnikom preprečimo uporabo SSL, saj šifriranje ni potrebno na javnem strežniku FTP.

allow_anon_ssl=NO

Nato moramo določiti, kdaj uporabiti SSL/TLS, to bo omogočilo šifriranje tako za prenos podatkov kot za prijavne poverilnice

force_local_data_ssl=YES
force_local_logins_ssl=YES

Lahko tudi določimo, katere različice in protokole naj se uporabljajo. TLS je na splošno bolj varen kot SSL, zato lahko dovolimo TLS in hkrati blokiramo starejše različice SSL.

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

Zahteva vnovično uporabo SSL in uporaba visokih šifr bo prav tako pripomogla k izboljšanju varnosti. S strani priročnika vsFTPd:

require_ssl_reuse If set to yes, all SSL data connections are required to exhibit SSL session reuse (which proves that they know the same master secret as the control channel). Although this is a secure default, it may break many FTP clients, so you may want to disable it. For a discussion of the consequences, see http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html (Added in v2.1.0).

ssl_ciphers This option can be used to select which SSL ciphers vsftpd will allow for encrypted SSL connections. See the ciphers man page for further details. Note that restricting ciphers can be a useful security precaution as it prevents malicious remote parties forcing a cipher which they have found problems with.

require_ssl_reuse=YES
ssl_ciphers=HIGH

Zaključite tako, da znova zaženete vsftpddemon

/etc/init.d/vsftpd restart

Potrdite namestitev

In to je to, zdaj bi se morali povezati s svojim strežnikom in potrditi, da vse deluje. Če uporabljate FileZilla, bi se moralo ob vzpostavitvi povezave odpreti pogovorno okno, ki vsebuje podatke o vaši organizaciji (ali karkoli, kar ste vnesli pri generiranju potrdila prej). Izhod naj bi potem izgledal podobno:

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

Če želite izvedeti več o vsFTPd, si oglejte njegove strani z navodili:

man vsftpd