Ako zabezpečiť vsFTPd pomocou SSL/TLS

Veľmi bezpečný FTP démon alebo jednoducho vsFTPd je ľahký softvér s veľkou schopnosťou prispôsobenia. V tomto návode zabezpečíme už existujúcu inštaláciu na systéme Debian pomocou nášho vlastného SSL/TLS certifikátu s vlastným podpisom. Napriek tomu, že je napísaný pre Debian, mal by fungovať na väčšine distribúcií Linuxu, ako je napríklad Ubuntu a CentOS.

Inštalácia vsFTPd

Na novom Linux VPS musíte najskôr nainštalovať vsFTPd. Hoci základné kroky na inštaláciu vsFTPd nájdete v tomto návode, odporúčam vám prečítať si aj tieto dva podrobnejšie návody: Nastavenie vsFTPd na Debian/Ubuntu a Inštalácia vsFTPd na CentOS . Všetky kroky týkajúce sa inštalácie sú tam podrobnejšie vysvetlené.

Inštalácia na Debian/Ubuntu:

apt-get install vsftpd

Inštalácia na CentOS:

yum install epel-release
yum install vsftpd

Konfigurácia Otvorte konfiguračný súbor: /etc/vsftpd.conf vo svojom obľúbenom textovom editore, v tomto návode používame nano.

nano /etc/vsftpd.conf

Do konfigurácie vložte nasledujúce riadky:

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

Dokončite reštartovaním démona vsFTPd:

/etc/init.d/vsftpd restart

Teraz by ste sa mali môcť prihlásiť ako ktorýkoľvek lokálny používateľ cez FTP, teraz poďme ďalej a zabezpečte tento softvér.

Vytvorte certifikát s vlastným podpisom

Vlastnoručne podpísaný certifikát sa zvyčajne používa v protokole zmluvy o verejnom kľúči, ktorý teraz použijete opensslna generovanie verejného kľúča a zodpovedajúceho súkromného kľúča. Najprv musíme vytvoriť adresár na uloženie týchto dvoch kľúčových súborov, najlepšie na bezpečnom mieste, ku ktorému sa bežní používatelia nemôžu dostať.

mkdir -p /etc/vsftpd/ssl

Teraz k samotnému vygenerovaniu certifikátu, uložíme oba kľúče do rovnakého súboru ( /etc/vsftpd/ssl/vsftpd.pem ):

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

Po vykonaní príkazu budete požiadaní o niekoľko otázok, ako je kód krajiny, štát, mesto, názov organizácie atď., použite svoje vlastné informácie alebo informácie o vašej organizácii. Teraz je najdôležitejším riadkom Common name, ktorý sa musí zhodovať s IP adresou vášho VPS, prípadne s názvom domény, ktorý naň ukazuje.

Tento certifikát bude platný 365 dní (~1 rok), bude používať protokol RSA key agreement s dĺžkou kľúča 4096 bitov a súbor obsahujúci oba kľúče bude uložený v novom adresári, ktorý sme práve vytvorili. Ďalšie podrobnosti o dĺžke kľúča a jeho vzťahu k bezpečnosti nájdete v tomto: Odporúčania pre šifrovanie II .

Nainštalujte nový certifikát do vsFTPd

Aby sme mohli začať používať náš nový certifikát a poskytnúť tak šifrovanie, musíme konfiguračný súbor znova otvoriť:

nano /etc/vsftpd.conf

Musíme pridať cesty k našim novým súborom certifikátov a kľúčov. Keďže sú uložené v rovnakom súbore, malo by to byť rovnaké aj v konfigurácii.

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

Musíme pridať tento riadok, aby sme sa uistili, že SSL bude povolené:

ssl_enable=YES

Voliteľne môžeme zablokovať anonymným používateľom používanie protokolu SSL, keďže na verejnom serveri FTP nie je potrebné šifrovanie.

allow_anon_ssl=NO

Ďalej musíme určiť, kedy sa má použiť SSL/TLS, čo umožní šifrovanie pre prenos údajov aj prihlasovacie údaje

force_local_data_ssl=YES
force_local_logins_ssl=YES

Môžeme tiež špecifikovať, aké verzie a protokoly sa majú použiť. TLS je vo všeobecnosti bezpečnejšie ako SSL, a preto môžeme povoliť TLS a zároveň blokovať staršie verzie SSL.

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

Vyžadovať opätovné použitie SSL a používanie vysokých šifier tiež pomôže zlepšiť bezpečnosť. Z manuálových stránok vsFTPd:

require_ssl_reuse If set to yes, all SSL data connections are required to exhibit SSL session reuse (which proves that they know the same master secret as the control channel). Although this is a secure default, it may break many FTP clients, so you may want to disable it. For a discussion of the consequences, see http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html (Added in v2.1.0).

ssl_ciphers This option can be used to select which SSL ciphers vsftpd will allow for encrypted SSL connections. See the ciphers man page for further details. Note that restricting ciphers can be a useful security precaution as it prevents malicious remote parties forcing a cipher which they have found problems with.

require_ssl_reuse=YES
ssl_ciphers=HIGH

Dokončite reštartovaním vsftpddémona

/etc/init.d/vsftpd restart

Potvrďte inštaláciu

A to je všetko, teraz by ste sa mali môcť pripojiť k svojmu serveru a potvrdiť, že všetko funguje. Ak používate FileZilla, po pripojení by sa malo otvoriť dialógové okno obsahujúce informácie o vašej organizácii (alebo čokoľvek, čo ste zadali pri generovaní certifikátu skôr). Výstup by potom mal vyzerať takto:

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

Ak sa chcete dozvedieť viac o vsFTPd, pozrite si jeho manuálové stránky:

man vsftpd