Како обезбедити всФТПд помоћу ССЛ/ТЛС-а

Веома сигуран ФТП демон или једноставно всФТПд је лагани комад софтвера са великом могућношћу прилагођавања. У овом водичу ћемо обезбедити већ постојећу инсталацију на Дебиан систему користећи сопствени самопотписани ССЛ/ТЛС сертификат. Упркос томе што је написан за Дебиан, требало би да ради на већини Линук дистрибуција као што су Убунту и ЦентОС, на пример.

Инсталација всФТПд

На новом Линук ВПС-у морате прво да инсталирате всФТПд. Иако ћете у овом водичу пронаћи основне кораке за инсталирање всФТПд , препоручујем вам да прочитате и ова два детаљнија упутства: Подешавање всФТПд на Дебиан/Убунту и Инсталирање всФТПд на ЦентОС . Сви кораци у вези са инсталацијом су тамо пажљивије објашњени.

Инсталација на Дебиан/Убунту:

apt-get install vsftpd

Инсталација на ЦентОС:

yum install epel-release
yum install vsftpd

Конфигурација Отворите конфигурациону датотеку: /етц/всфтпд.цонф у свом омиљеном уређивачу текста, у овом водичу користимо nano.

nano /etc/vsftpd.conf

Налепите следеће редове у конфигурацију:

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

Завршите тако што ћете поново покренути свој всФТПд демон:

/etc/init.d/vsftpd restart

Сада би требало да будете у могућности да се пријавите као било који локални корисник преко ФТП-а, сада идемо даље и обезбедимо овај софтвер.

Генеришите самопотписани сертификат

Самопотписани сертификат се обично користи у протоколу уговора о јавном кључу, који ћете сада користити opensslза генерисање јавног кључа и одговарајућег приватног кључа. Пре свега треба да направимо директоријум за чување ове две кључне датотеке, по могућности на безбедној локацији којој нормални корисници не могу приступити.

mkdir -p /etc/vsftpd/ssl

Сада до стварног генерисања сертификата, ускладиштићемо оба кључа у истој датотеци ( /етц/всфтпд/ссл/всфтпд.пем ):

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

Након извршења команде биће вам постављено неколико питања као што су позивни број земље, држава, град, назив организације итд. Користите своје информације или информације ваше организације. Сада је најважнија линија заједничко име које мора да одговара ИП адреси вашег ВПС-а, или име домена које показује на њега.

Овај сертификат ће важити 365 дана (~1 година), користиће РСА протокол споразума о кључу са дужином кључа од 4096 бита, а датотека која садржи оба кључа биће ускладиштена у новом директоријуму који смо управо креирали. За више детаља о дужини кључа и њеном односу са безбедношћу погледајте ово: Препоруке за шифровање ИИ .

Инсталирајте нови сертификат у всФТПд

Да бисмо почели да користимо наш нови сертификат и на тај начин обезбедимо шифровање, морамо поново да отворимо конфигурациону датотеку:

nano /etc/vsftpd.conf

Морамо да додамо путање нашим новим сертификатима и датотекама кључева. Пошто су ускладиштени у истој датотеци, требало би да буду исти и унутар конфигурације.

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

Морамо додати ову линију да бисмо били сигурни да ће ССЛ бити омогућен:

ssl_enable=YES

Опционо можемо да блокирамо анонимне кориснике да користе ССЛ, пошто шифровање није потребно на јавном ФТП серверу.

allow_anon_ssl=NO

Затим морамо да наведемо када да користимо ССЛ/ТЛС, ово ће омогућити шифровање и за пренос података и за акредитиве за пријаву

force_local_data_ssl=YES
force_local_logins_ssl=YES

Такође можемо навести које верзије и протоколе ће се користити. ТЛС је генерално сигурнији од ССЛ-а и стога можемо дозволити ТЛС и истовремено блокирати старије верзије ССЛ-а.

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

Захтевајте поновну употребу ССЛ-а и употреба високих шифара ће такође помоћи да се побољша безбедност. Са ман страница всФТПд-а:

require_ssl_reuse If set to yes, all SSL data connections are required to exhibit SSL session reuse (which proves that they know the same master secret as the control channel). Although this is a secure default, it may break many FTP clients, so you may want to disable it. For a discussion of the consequences, see http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html (Added in v2.1.0).

ssl_ciphers This option can be used to select which SSL ciphers vsftpd will allow for encrypted SSL connections. See the ciphers man page for further details. Note that restricting ciphers can be a useful security precaution as it prevents malicious remote parties forcing a cipher which they have found problems with.

require_ssl_reuse=YES
ssl_ciphers=HIGH

Завршите поновним покретањем vsftpdдемона

/etc/init.d/vsftpd restart

Потврдите инсталацију

И то је то, сада би требало да будете у могућности да се повежете са својим сервером и потврдите да све ради. Ако користите ФилеЗилла, дијалог који садржи информације о вашој организацији (или било шта што сте унели приликом генерисања сертификата раније) требало би да се отвори након повезивања. Излаз би тада требао изгледати слично овоме:

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

Да бисте сазнали више о всФТПд-у, погледајте његове странице приручника:

man vsftpd