Як захистити vsFTPd за допомогою SSL/TLS

Very Secure FTP daemon, або просто vsFTPd — це легка частина програмного забезпечення з чудовою можливістю налаштування. У цьому підручнику ми збираємося захистити вже існуючу інсталяцію в системі Debian, використовуючи наш власний самопідписаний сертифікат SSL/TLS. Незважаючи на те, що він написаний для Debian, він повинен працювати на більшості дистрибутивів Linux, таких як Ubuntu та CentOS, наприклад.

Установка vsFTPd

На свіжому Linux VPS спочатку потрібно встановити vsFTPd. Хоча ви знайдете основні кроки для встановлення vsFTPd у цьому підручнику, я рекомендую вам також ознайомитися з цими двома докладнішими посібниками: Налаштування vsFTPd на Debian/Ubuntu та Установлення vsFTPd на CentOS . Там детальніше описані всі кроки щодо встановлення.

Установка на Debian/Ubuntu:

apt-get install vsftpd

Установка на CentOS:

yum install epel-release
yum install vsftpd

Конфігурація Відкрийте файл конфігурації: /etc/vsftpd.conf у вашому улюбленому текстовому редакторі, у цьому підручнику ми використовуємо nano.

nano /etc/vsftpd.conf

Вставте наступні рядки в конфігурацію:

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

Завершіть, перезапустивши демон vsFTPd:

/etc/init.d/vsftpd restart

Тепер ви повинні мати можливість увійти як будь-який локальний користувач через FTP, тепер давайте перейдемо далі та захистимо це програмне забезпечення.

Створіть самопідписаний сертифікат

Самопідписаний сертифікат зазвичай використовується в протоколі угоди з відкритим ключем, тепер ви будете використовувати його opensslдля створення відкритого ключа та відповідного закритого ключа. Перш за все, нам потрібно створити каталог для зберігання цих двох ключових файлів, бажано в безпечному місці, недоступному для звичайних користувачів.

mkdir -p /etc/vsftpd/ssl

Тепер до фактичного створення сертифіката ми збираємося зберігати обидва ключа в одному файлі ( /etc/vsftpd/ssl/vsftpd.pem ):

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

Після виконання команди вам зададуть кілька запитань, наприклад, код країни, штат, місто, назва організації тощо. Використовуйте власну інформацію чи інформацію вашої організації. Тепер найважливішим рядком є загальне ім’я, яке має відповідати IP-адресі вашого VPS, або доменне ім’я, яке вказує на нього.

Цей сертифікат буде дійсним протягом 365 днів (~1 рік), він використовуватиме протокол угоди з ключем RSA з довжиною ключа 4096 біт, а файл, що містить обидва ключа, буде збережено в новому каталозі, який ми щойно створили. Щоб отримати докладнішу інформацію про довжину ключа та її зв’язок із безпекою, див. це: Рекомендації щодо шифрування II .

Встановіть новий сертифікат у vsFTPd

Щоб почати використовувати наш новий сертифікат і таким чином забезпечити шифрування, нам потрібно знову відкрити файл конфігурації:

nano /etc/vsftpd.conf

Нам потрібно додати шляхи до нашого нового сертифіката та файлів ключів. Оскільки вони зберігаються в одному файлі, вони повинні бути такими ж і всередині конфігурації.

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

Ми повинні додати цей рядок, щоб переконатися, що SSL буде увімкнено:

ssl_enable=YES

За бажанням ми можемо заблокувати анонімних користувачів від використання SSL, оскільки шифрування не потрібне на загальнодоступному FTP-сервері.

allow_anon_ssl=NO

Далі нам потрібно вказати, коли використовувати SSL/TLS, це дозволить шифрувати як для передачі даних, так і для облікових даних для входу

force_local_data_ssl=YES
force_local_logins_ssl=YES

Ми також можемо вказати, які версії та протоколи будуть використані. TLS, як правило, більш безпечний, ніж SSL, тому ми можемо дозволити TLS і в той же час блокувати старіші версії SSL.

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

Вимагати повторного використання SSL та використання високих шифрів також допоможе підвищити безпеку. Зі сторінок керівництва vsFTPd:

require_ssl_reuse If set to yes, all SSL data connections are required to exhibit SSL session reuse (which proves that they know the same master secret as the control channel). Although this is a secure default, it may break many FTP clients, so you may want to disable it. For a discussion of the consequences, see http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html (Added in v2.1.0).

ssl_ciphers This option can be used to select which SSL ciphers vsftpd will allow for encrypted SSL connections. See the ciphers man page for further details. Note that restricting ciphers can be a useful security precaution as it prevents malicious remote parties forcing a cipher which they have found problems with.

require_ssl_reuse=YES
ssl_ciphers=HIGH

Завершіть роботу перезапуском vsftpdдемона

/etc/init.d/vsftpd restart

Підтвердьте встановлення

І все, тепер ви зможете підключитися до свого сервера і підтвердити, що все працює. Якщо ви використовуєте FileZilla, діалогове вікно, що містить інформацію про вашу організацію (або те, що ви ввели під час створення сертифіката раніше), має відкритися після підключення. Тоді результат повинен виглядати приблизно так:

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

Щоб дізнатися більше про vsFTPd, перегляньте його сторінки посібника:

man vsftpd