كيفية تأمين vsFTPd مع SSL / TLS

• تثبيت vsFTPd
• إنشاء شهادة موقعة ذاتيا
• قم بتثبيت الشهادة الجديدة في vsFTPd
• تأكيد التثبيت

برنامج FTP الآمن للغاية ، أو ببساطة vsFTPd هو برنامج خفيف الوزن مع قدرة كبيرة على التخصيص. في هذا البرنامج التعليمي ، سنقوم بتثبيت تثبيت موجود بالفعل على نظام دبيان باستخدام شهادة SSL / TLS الخاصة بنا الموقعة ذاتيًا. على الرغم من أنه مكتوب لـ Debian ، إلا أنه يجب أن يعمل على معظم توزيعات Linux مثل Ubuntu و CentOS على سبيل المثال.

تثبيت vsFTPd

على VPS Linux الجديد تحتاج إلى تثبيت vsFTPd أولاً. على الرغم من أنك سوف تجد الخطوات الأساسية لتثبيت vsFTPd في هذا البرنامج التعليمي أنصحك أن تقرأ هذين الدروس أكثر تفصيلا أيضا: إعداد vsFTPd على ديبيان / أوبونتو و تركيب vsFTPd على سينت أو إس . يتم شرح جميع الخطوات المتعلقة بالتثبيت بعناية أكبر هناك.

التثبيت على دبيان / أوبونتو:

apt-get install vsftpd

التثبيت على CentOS:

yum install epel-release
yum install vsftpd

التهيئة افتح ملف التهيئة: /etc/vsftpd.conf في محرر النصوص المفضل لديك ، في هذا البرنامج التعليمي الذي نستخدمه nano.

nano /etc/vsftpd.conf

قم بلصق الأسطر التالية في التكوين:

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

أنهي بإعادة تشغيل برنامج vsFTPd الخاص بك:

/etc/init.d/vsftpd restart

يجب أن تكون قادرًا الآن على تسجيل الدخول مثل أي مستخدم محلي عبر FTP ، والآن دعنا ننتقل ونؤمن هذا البرنامج.

إنشاء شهادة موقعة ذاتيا

عادةً ما يتم استخدام الشهادة الموقعة ذاتيًا في بروتوكول اتفاقية المفتاح العام ، وسوف تستخدمها الآن opensslلإنشاء مفتاح عام ومفتاح خاص مناظر. بادئ ذي بدء ، نحتاج إلى إنشاء دليل لتخزين هذين الملفين الرئيسيين ، ويفضل في مكان آمن لا يمكن للمستخدمين العاديين الوصول إليه.

mkdir -p /etc/vsftpd/ssl

الآن بالنسبة للإنشاء الفعلي للشهادة ، سنقوم بتخزين المفاتيح في نفس الملف ( /etc/vsftpd/ssl/vsftpd.pem ):

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

بعد تنفيذ الأمر ، ستُطرح عليك بعض الأسئلة مثل رمز البلد ، أو الولاية ، أو المدينة ، أو اسم المؤسسة ، إلخ. استخدم معلوماتك أو معلومات مؤسستك. الآن السطر الأكثر أهمية هو الاسم الشائع الذي يجب أن يتطابق مع عنوان IP الخاص بـ VPS ، أو بدلاً من ذلك اسم مجال يشير إليه.

ستكون هذه الشهادة صالحة لمدة 365 يومًا (~ سنة واحدة) ، وستستخدم بروتوكول اتفاقية مفتاح RSA بطول مفتاح 4096 بت ، وسيتم تخزين الملف الذي يحتوي على المفتاحين في الدليل الجديد الذي أنشأناه للتو. لمزيد من التفاصيل حول طول المفتاح وعلاقته بالأمان ، راجع ما يلي: توصيات التشفير الثاني .

قم بتثبيت الشهادة الجديدة في vsFTPd

لبدء استخدام شهادتنا الجديدة وبالتالي توفير التشفير ، نحتاج إلى فتح ملف التكوين مرة أخرى:

nano /etc/vsftpd.conf

نحتاج إلى إضافة المسارات إلى شهادتنا الجديدة وملفاتنا الرئيسية. نظرًا لأنه يتم تخزينها في نفس الملف ، يجب أن تكون هي نفسها داخل التكوين أيضًا.

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

يجب أن نضيف هذا الخط للتأكد من تمكين SSL:

ssl_enable=YES

اختياريًا ، قد نحظر المستخدمين المجهولين من استخدام SSL ، نظرًا لأن التشفير غير مطلوب على خادم FTP عام.

allow_anon_ssl=NO

بعد ذلك ، نحتاج إلى تحديد متى نستخدم SSL / TLS ، سيؤدي ذلك إلى تمكين التشفير لنقل البيانات وبيانات اعتماد تسجيل الدخول

force_local_data_ssl=YES
force_local_logins_ssl=YES

قد نحدد أيضًا الإصدارات والبروتوكولات التي سيتم استخدامها. TLS بشكل عام أكثر أمانًا من SSL ، وبالتالي قد نسمح بـ TLS وفي نفس الوقت نحظر الإصدارات القديمة من SSL.

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

يتطلب إعادة استخدام طبقة المقابس الآمنة واستخدام الشفرات العالية أيضًا في تحسين الأمان. من صفحات man vsFTPd:

required_ssl_reuse إذا تم التعيين على "نعم" ، فإن جميع اتصالات بيانات SSL مطلوبة لعرض إعادة استخدام جلسة SSL (مما يثبت أنهم يعرفون السر الرئيسي نفسه لقناة التحكم). على الرغم من أن هذا هو الإعداد الافتراضي الآمن ، إلا أنه قد يكسر العديد من عملاء FTP ، لذا قد ترغب في تعطيله. لمناقشة العواقب ، انظر http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html (تمت إضافته في v2.1.0).

ssl_ciphers يمكن استخدام هذا الخيار لتحديد أي SSL ciphers vsftpd سيسمح لاتصالات SSL المشفرة. راجع صفحة رجل الأصفار لمزيد من التفاصيل. لاحظ أن تقييد الشفرات يمكن أن يكون احتياطًا أمنيًا مفيدًا لأنه يمنع الأطراف البعيدة الخبيثة من فرض التشفير الذي وجدوا مشاكل معه.

require_ssl_reuse=YES
ssl_ciphers=HIGH

أنهي بإعادة تشغيل البرنامج vsftpdالخفي

/etc/init.d/vsftpd restart

تأكيد التثبيت

هذا كل شيء ، يجب أن تكون قادرًا الآن على الاتصال بخادمك والتأكد من أن كل شيء يعمل. إذا كنت تستخدم FileZilla ، يجب فتح مربع حوار يحتوي على معلومات مؤسستك (أو أي شيء أدخلته عند إنشاء الشهادة سابقًا) عند الاتصال. يجب أن يبدو الإخراج مشابهًا لما يلي:

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

لمعرفة المزيد حول vsFTPd ، تحقق من صفحاتها اليدوية:

man vsftpd