Hur man säkrar vsFTPd med SSL/TLS

Mycket säker FTP-demon, eller helt enkelt vsFTPd, är en lätt mjukvara med stor förmåga att anpassa. I den här handledningen kommer vi att säkra en redan existerande installation på ett Debiansystem med vårt eget självsignerade SSL/TLS-certifikat. Trots att den är skriven för Debian borde den fungera på de flesta Linux-distributioner som Ubuntu och CentOS till exempel.

Installation av vsFTPd

På en ny Linux VPS måste du först installera vsFTPd. Även om du hittar de grundläggande stegen för att installera vsFTPd i den här handledningen rekommenderar jag att du också läser dessa två mer detaljerade handledningar: Installera vsFTPd på Debian/Ubuntu och Installera vsFTPd på CentOS . Alla steg angående installationen förklaras mer noggrant där.

Installation på Debian/Ubuntu:

apt-get install vsftpd

Installation på CentOS:

yum install epel-release
yum install vsftpd

Konfiguration Öppna konfigurationsfilen: /etc/vsftpd.conf i din favorittextredigerare, i den här handledningen använder vi nano.

nano /etc/vsftpd.conf

Klistra in följande rader i konfigurationen:

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

Avsluta genom att starta om din vsFTPd-demon:

/etc/init.d/vsftpd restart

Du bör nu kunna logga in som vilken lokal användare som helst via FTP, låt oss nu gå vidare och säkra denna programvara.

Skapa ett självsignerat certifikat

Ett självsignerat certifikat används vanligtvis i ett avtalsprotokoll för offentlig nyckel, som du nu kommer att använda för opensslatt generera en offentlig nyckel och en motsvarande privat nyckel. Först och främst måste vi skapa en katalog för att lagra dessa två nyckelfiler, helst på en säker plats som normala användare inte kan komma åt.

mkdir -p /etc/vsftpd/ssl

Nu till den faktiska genereringen av certifikatet kommer vi att lagra båda nycklarna i samma fil ( /etc/vsftpd/ssl/vsftpd.pem ):

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

Efter att ha utfört kommandot kommer du att ställas några frågor såsom landskod, stat, stad, organisationsnamn etc. använd din egen eller din organisations information. Nu är den viktigaste raden Common name som måste matcha IP-adressen för din VPS, alternativt ett domännamn som pekar på det.

Detta certifikat kommer att vara giltigt i 365 dagar (~1 år), det kommer att använda RSA-nyckelavtalsprotokollet med en nyckellängd på 4096 bitar, och filen som innehåller båda nycklarna kommer att lagras i den nya katalogen vi just skapade. För mer information om nyckellängd och dess relation till säkerhet, se detta: Encryption II-rekommendationer .

Installera det nya certifikatet i vsFTPd

För att börja använda vårt nya certifikat och därmed tillhandahålla kryptering måste vi öppna upp konfigurationsfilen igen:

nano /etc/vsftpd.conf

Vi måste lägga till sökvägarna till våra nya certifikat och nyckelfiler. Eftersom de är lagrade i samma fil bör det vara samma i konfigurationen också.

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

Vi måste lägga till den här raden för att säkerställa att SSL kommer att vara aktiverat:

ssl_enable=YES

Valfritt kan vi blockera anonyma användare från att använda SSL, eftersom kryptering inte behövs på en offentlig FTP-server.

allow_anon_ssl=NO

Därefter måste vi ange när vi ska använda SSL/TLS, detta kommer att möjliggöra kryptering både för dataöverföring och inloggningsuppgifter

force_local_data_ssl=YES
force_local_logins_ssl=YES

Vi kan också ange vilka versioner och protokoll som ska användas. TLS är generellt sett säkrare än SSL och därför kan vi tillåta TLS och samtidigt blockera äldre versioner av SSL.

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

Kräv SSL-återanvändning och användning av höga chiffer hjälper också till att förbättra säkerheten. Från vsFTPds man-sidor:

require_ssl_reuse If set to yes, all SSL data connections are required to exhibit SSL session reuse (which proves that they know the same master secret as the control channel). Although this is a secure default, it may break many FTP clients, so you may want to disable it. For a discussion of the consequences, see http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html (Added in v2.1.0).

ssl_ciphers This option can be used to select which SSL ciphers vsftpd will allow for encrypted SSL connections. See the ciphers man page for further details. Note that restricting ciphers can be a useful security precaution as it prevents malicious remote parties forcing a cipher which they have found problems with.

require_ssl_reuse=YES
ssl_ciphers=HIGH

Avsluta genom att starta om vsftpddemonen

/etc/init.d/vsftpd restart

Bekräfta installationen

Och det är det, du bör nu kunna ansluta till din server och bekräfta att allt fungerar. Om du använder FileZilla bör en dialogruta som innehåller din organisationsinformation (eller vad du angav när du genererade certifikatet tidigare) öppnas vid anslutning. Utdata ska då se ut så här:

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

För att lära dig mer om vsFTPd, kolla in dess manualsidor:

man vsftpd