كيفية تأمين vsFTPd مع SSL / TLS

برنامج FTP الآمن للغاية ، أو ببساطة vsFTPd هو برنامج خفيف الوزن مع قدرة كبيرة على التخصيص. في هذا البرنامج التعليمي ، سنقوم بتثبيت تثبيت موجود بالفعل على نظام دبيان باستخدام شهادة SSL / TLS الخاصة بنا الموقعة ذاتيًا. على الرغم من أنه مكتوب لـ Debian ، إلا أنه يجب أن يعمل على معظم توزيعات Linux مثل Ubuntu و CentOS على سبيل المثال.


تثبيت vsFTPd

على VPS Linux الجديد تحتاج إلى تثبيت vsFTPd أولاً. على الرغم من أنك سوف تجد الخطوات الأساسية لتثبيت vsFTPd في هذا البرنامج التعليمي أنصحك أن تقرأ هذين الدروس أكثر تفصيلا أيضا: إعداد vsFTPd على ديبيان / أوبونتو و تركيب vsFTPd على سينت أو إس . يتم شرح جميع الخطوات المتعلقة بالتثبيت بعناية أكبر هناك.

التثبيت على دبيان / أوبونتو:

apt-get install vsftpd

التثبيت على CentOS:

yum install epel-release
yum install vsftpd

التهيئة افتح ملف التهيئة: /etc/vsftpd.conf في محرر النصوص المفضل لديك ، في هذا البرنامج التعليمي الذي نستخدمه nano.

nano /etc/vsftpd.conf

قم بلصق الأسطر التالية في التكوين:

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

أنهي بإعادة تشغيل برنامج vsFTPd الخاص بك:

/etc/init.d/vsftpd restart

يجب أن تكون قادرًا الآن على تسجيل الدخول مثل أي مستخدم محلي عبر FTP ، والآن دعنا ننتقل ونؤمن هذا البرنامج.


إنشاء شهادة موقعة ذاتيا

عادةً ما يتم استخدام الشهادة الموقعة ذاتيًا في بروتوكول اتفاقية المفتاح العام ، وسوف تستخدمها الآن opensslلإنشاء مفتاح عام ومفتاح خاص مناظر. بادئ ذي بدء ، نحتاج إلى إنشاء دليل لتخزين هذين الملفين الرئيسيين ، ويفضل في مكان آمن لا يمكن للمستخدمين العاديين الوصول إليه.

mkdir -p /etc/vsftpd/ssl

الآن بالنسبة للإنشاء الفعلي للشهادة ، سنقوم بتخزين المفاتيح في نفس الملف ( /etc/vsftpd/ssl/vsftpd.pem ):

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

بعد تنفيذ الأمر ، ستُطرح عليك بعض الأسئلة مثل رمز البلد ، أو الولاية ، أو المدينة ، أو اسم المؤسسة ، إلخ. استخدم معلوماتك أو معلومات مؤسستك. الآن السطر الأكثر أهمية هو الاسم الشائع الذي يجب أن يتطابق مع عنوان IP الخاص بـ VPS ، أو بدلاً من ذلك اسم مجال يشير إليه.

ستكون هذه الشهادة صالحة لمدة 365 يومًا (~ سنة واحدة) ، وستستخدم بروتوكول اتفاقية مفتاح RSA بطول مفتاح 4096 بت ، وسيتم تخزين الملف الذي يحتوي على المفتاحين في الدليل الجديد الذي أنشأناه للتو. لمزيد من التفاصيل حول طول المفتاح وعلاقته بالأمان ، راجع ما يلي: توصيات التشفير الثاني .


قم بتثبيت الشهادة الجديدة في vsFTPd

لبدء استخدام شهادتنا الجديدة وبالتالي توفير التشفير ، نحتاج إلى فتح ملف التكوين مرة أخرى:

nano /etc/vsftpd.conf

نحتاج إلى إضافة المسارات إلى شهادتنا الجديدة وملفاتنا الرئيسية. نظرًا لأنه يتم تخزينها في نفس الملف ، يجب أن تكون هي نفسها داخل التكوين أيضًا.

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

يجب أن نضيف هذا الخط للتأكد من تمكين SSL:

ssl_enable=YES

اختياريًا ، قد نحظر المستخدمين المجهولين من استخدام SSL ، نظرًا لأن التشفير غير مطلوب على خادم FTP عام.

allow_anon_ssl=NO

بعد ذلك ، نحتاج إلى تحديد متى نستخدم SSL / TLS ، سيؤدي ذلك إلى تمكين التشفير لنقل البيانات وبيانات اعتماد تسجيل الدخول

force_local_data_ssl=YES
force_local_logins_ssl=YES

قد نحدد أيضًا الإصدارات والبروتوكولات التي سيتم استخدامها. TLS بشكل عام أكثر أمانًا من SSL ، وبالتالي قد نسمح بـ TLS وفي نفس الوقت نحظر الإصدارات القديمة من SSL.

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

يتطلب إعادة استخدام طبقة المقابس الآمنة واستخدام الشفرات العالية أيضًا في تحسين الأمان. من صفحات man vsFTPd:

required_ssl_reuse إذا تم التعيين على "نعم" ، فإن جميع اتصالات بيانات SSL مطلوبة لعرض إعادة استخدام جلسة SSL (مما يثبت أنهم يعرفون السر الرئيسي نفسه لقناة التحكم). على الرغم من أن هذا هو الإعداد الافتراضي الآمن ، إلا أنه قد يكسر العديد من عملاء FTP ، لذا قد ترغب في تعطيله. لمناقشة العواقب ، انظر http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html (تمت إضافته في v2.1.0).

ssl_ciphers يمكن استخدام هذا الخيار لتحديد أي SSL ciphers vsftpd سيسمح لاتصالات SSL المشفرة. راجع صفحة رجل الأصفار لمزيد من التفاصيل. لاحظ أن تقييد الشفرات يمكن أن يكون احتياطًا أمنيًا مفيدًا لأنه يمنع الأطراف البعيدة الخبيثة من فرض التشفير الذي وجدوا مشاكل معه.

require_ssl_reuse=YES
ssl_ciphers=HIGH

أنهي بإعادة تشغيل البرنامج vsftpdالخفي

/etc/init.d/vsftpd restart

تأكيد التثبيت

هذا كل شيء ، يجب أن تكون قادرًا الآن على الاتصال بخادمك والتأكد من أن كل شيء يعمل. إذا كنت تستخدم FileZilla ، يجب فتح مربع حوار يحتوي على معلومات مؤسستك (أو أي شيء أدخلته عند إنشاء الشهادة سابقًا) عند الاتصال. يجب أن يبدو الإخراج مشابهًا لما يلي:

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

لمعرفة المزيد حول vsFTPd ، تحقق من صفحاتها اليدوية:

man vsftpd

اترك تعليقاً

نظرة ثاقبة على 26 أسلوبًا لتحليل البيانات الضخمة: الجزء الأول

نظرة ثاقبة على 26 أسلوبًا لتحليل البيانات الضخمة: الجزء الأول

نظرة ثاقبة على 26 أسلوبًا لتحليل البيانات الضخمة: الجزء الأول

وظائف طبقات معمارية مرجعية للبيانات الضخمة

وظائف طبقات معمارية مرجعية للبيانات الضخمة

اقرأ المدونة لمعرفة الطبقات المختلفة في بنية البيانات الضخمة ووظائفها بأبسط طريقة.

6 أشياء شديدة الجنون حول نينتندو سويتش

6 أشياء شديدة الجنون حول نينتندو سويتش

يعرف الكثير منكم أن Switch سيصدر في مارس 2017 وميزاته الجديدة. بالنسبة لأولئك الذين لا يعرفون ، قمنا بإعداد قائمة بالميزات التي تجعل "التبديل" "أداة لا غنى عنها".

وعود التكنولوجيا التي لم يتم الوفاء بها بعد

وعود التكنولوجيا التي لم يتم الوفاء بها بعد

هل تنتظر عمالقة التكنولوجيا للوفاء بوعودهم؟ تحقق من ما تبقى دون تسليم.

كيف يمكن للذكاء الاصطناعي نقل أتمتة العمليات إلى المستوى التالي؟

كيف يمكن للذكاء الاصطناعي نقل أتمتة العمليات إلى المستوى التالي؟

اقرأ هذا لمعرفة مدى انتشار الذكاء الاصطناعي بين الشركات الصغيرة وكيف أنه يزيد من احتمالات نموها ومنح منافسيها القدرة على التفوق.

التفرد التكنولوجي: مستقبل بعيد للحضارة الإنسانية؟

التفرد التكنولوجي: مستقبل بعيد للحضارة الإنسانية؟

مع تطور العلم بمعدل سريع ، واستلام الكثير من جهودنا ، تزداد أيضًا مخاطر تعريض أنفسنا إلى تفرد غير قابل للتفسير. اقرأ ، ماذا يمكن أن يعني التفرد بالنسبة لنا.

CAPTCHA: ما هي المدة التي يمكن أن تظل تقنية قابلة للتطبيق للتميز بين الإنسان والذكاء الاصطناعي؟

CAPTCHA: ما هي المدة التي يمكن أن تظل تقنية قابلة للتطبيق للتميز بين الإنسان والذكاء الاصطناعي؟

لقد أصبح حل CAPTCHA صعبًا جدًا على المستخدمين في السنوات القليلة الماضية. هل ستكون قادرة على أن تظل فعالة في اكتشاف البريد العشوائي والروبوتات في المستقبل القريب؟

التطبيب عن بعد والرعاية الصحية عن بعد: المستقبل هنا

التطبيب عن بعد والرعاية الصحية عن بعد: المستقبل هنا

ما هو التطبيب عن بعد والرعاية الصحية عن بعد وأثره على الأجيال القادمة؟ هل هو مكان جيد أم لا في حالة الوباء؟ اقرأ المدونة لتجد طريقة عرض!

هل تساءلت يومًا كيف يربح المتسللون الأموال؟

هل تساءلت يومًا كيف يربح المتسللون الأموال؟

ربما سمعت أن المتسللين يكسبون الكثير من المال ، لكن هل تساءلت يومًا كيف يجنون هذا النوع من المال؟ دعنا نناقش.

يتسبب التحديث الإضافي لنظام macOS Catalina 10.15.4 في حدوث مشكلات أكثر من حلها

يتسبب التحديث الإضافي لنظام macOS Catalina 10.15.4 في حدوث مشكلات أكثر من حلها

أصدرت Apple مؤخرًا macOS Catalina 10.15.4 تحديثًا تكميليًا لإصلاح المشكلات ولكن يبدو أن التحديث يتسبب في المزيد من المشكلات التي تؤدي إلى إنشاء أجهزة macOS. قراءة هذه المادة لمعرفة المزيد