چگونه می توان vsFTPd را با SSL / TLS ایمن کرد

• نصب vsFTPd
• یک گواهی خود امضا شده ایجاد کنید
• گواهینامه جدید را در vsFTPd نصب کنید
• نصب را تأیید کنید

Daemon FTP بسیار ایمن یا به سادگی vsFTPd یک نرم افزار سبک وزن است که قابلیت سفارشی سازی زیادی دارد. در این آموزش قصد داریم با استفاده از گواهی SSL / TLS خود امضا شده ، نصب قبلی را در سیستم دبیان تأمین کنیم. علیرغم اینکه برای دبیان نوشته شده است ، باید در اکثر توزیع های لینوکس مانند اوبونتو و CentOS کار کند.

نصب vsFTPd

در VPS لینوکس تازه باید ابتدا vsFTPd را نصب کنید. اگرچه در این آموزش مراحل ابتدایی برای نصب vsFTPd را پیدا خواهید کرد ، اما توصیه می کنم این دو آموزش دقیق تر را نیز بخوانید : تنظیم vsFTPd در Debian / Ubuntu و نصب vsFTPd در CentOS . تمام مراحل مربوط به نصب در آنجا با دقت بیشتری توضیح داده شده است.

نصب بر روی دبیان / اوبونتو:

apt-get install vsftpd

نصب بر روی CentOS:

yum install epel-release
yum install vsftpd

پیکربندی پرونده پیکربندی: /etc/vsftpd.conf را در ویرایشگر متن مورد علاقه خود باز کنید ، در این آموزش که ما استفاده می کنیم nano.

nano /etc/vsftpd.conf

خطوط زیر را در پیکربندی قرار دهید:

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

با راه اندازی مجدد شبح vsFTPd خود را تمام کنید:

/etc/init.d/vsftpd restart

اکنون باید مانند هر کاربر محلی از طریق FTP وارد سیستم شوید ، اکنون بیایید این نرم افزار را پیش برویم و ایمن کنیم.

یک گواهی خود امضا شده ایجاد کنید

یک گواهینامه خود امضا شده معمولاً در یک پروتکل توافق نامه کلید عمومی استفاده می شود ، اکنون شما opensslبرای تولید یک کلید عمومی و یک کلید خصوصی مربوطه استفاده می کنید. اول از همه ما برای ذخیره این دو پرونده کلیدی باید یک دایرکتوری تهیه کنیم ، ترجیحاً در یک مکان امن کاربران عادی نمی توانند به آنها دسترسی پیدا کنند.

mkdir -p /etc/vsftpd/ssl

حال به نسل واقعی گواهی ، می خواهیم هر دو کلید را در همان پرونده ( /etc/vsftpd/ssl/vsftpd.pem ) ذخیره کنیم:

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

بعد از اجرای دستور چند سؤال از قبیل کد کشور ، ایالت ، شهر ، نام سازمان و غیره از شما سؤال می شود که از اطلاعات خود یا سازمان خود استفاده کنید. اکنون مهمترین خط ، نام مشترک است که باید با آدرس IP VPS شما مطابقت داشته باشد ، و در عوض یک نام دامنه که به آن اشاره دارد.

این گواهینامه به مدت 365 روز (1 سال پوند) معتبر خواهد بود ، از پروتکل توافق نامه کلید RSA با طول کلیدی 4096 بیت استفاده می کند ، و پرونده حاوی هر دو کلید در فهرست جدیدی که ما تازه ایجاد کردیم ذخیره می شود. برای اطلاعات بیشتر در مورد طول کلید و ارتباط آن با امنیت ، این را ببینید: توصیه های رمزگذاری II .

گواهینامه جدید را در vsFTPd نصب کنید

برای شروع استفاده از گواهینامه جدید و در نتیجه ارائه رمزگذاری ، باید پرونده پیکربندی را دوباره باز کنیم:

nano /etc/vsftpd.conf

ما باید مسیرها را به گواهینامه و پرونده های اصلی خود اضا��ه کنیم. از آنجا که آنها در همان پرونده ذخیره می شوند ، باید در داخل پیکربندی یکسان باشند.

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

برای اطمینان از فعال بودن SSL باید این خط را اضافه کنیم:

ssl_enable=YES

به صورت اختیاری ممکن است ما کاربران ناشناس را از استفاده از SSL مسدود کنیم ، زیرا رمزگذاری در سرور FTP عمومی لازم نیست.

allow_anon_ssl=NO

در مرحله بعد باید تعیین کنیم که چه زمانی از SSL / TLS استفاده کنیم ، این رمزگذاری را هم برای انتقال داده و هم برای ورود به سیستم امکان پذیر می کند.

force_local_data_ssl=YES
force_local_logins_ssl=YES

همچنین ممکن است مشخص کنیم که چه نسخه ها و پروتکل هایی استفاده می شود. TLS به طور کلی از SSL ایمن تر است و بنابراین ممکن است اجازه دهیم TLS و در همان زمان نسخه های قدیمی تر SSL را مسدود کنیم.

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

استفاده مجدد از SSL نیاز دارد و استفاده از رمزهای بالا نیز به بهبود امنیت کمک خواهد کرد. از صفحات man vsFTPd:

requ_ssl_reuse اگر بله تنظیم شود ، به کلیه اتصالات داده SSL مورد نیاز است تا استفاده مجدد از جلسه SSL را نشان دهد (که ثابت می کند که آنها همان راز اصلی را به عنوان کانال کنترل می شناسند). اگرچه این یک پیش فرض ایمن است ، ممکن است بسیاری از سرویس گیرندگان FTP را خراب کند ، بنابراین ممکن است بخواهید آن را غیرفعال کنید. برای بحث در مورد عواقب ، به http://scarybeastsecurance.blogspot.com/2009/02/vsftpd-210-released.html مراجعه کنید (اضافه شده در v2.1.0).

ssl_ciphers این گزینه می تواند برای انتخاب کدگذاری SSL vsftpd برای اتصالات رمزگذاری شده SSL استفاده شود. برای جزئیات بیشتر به صفحه مرد رمزها مراجعه کنید. توجه داشته باشید که محدود کردن رمزها می تواند یک احتیاط امنیتی مفید باشد ، زیرا از ورود احزاب از راه دور مخرب مجبور به رمزگذاری یک رمزنگاری می شود که با آنها مشکلاتی پیدا کرده اند.

require_ssl_reuse=YES
ssl_ciphers=HIGH

با راه اندازی مجدد vsftpdدمون تمام کنید

/etc/init.d/vsftpd restart

نصب را تأیید کنید

و این این است ، اکنون باید بتوانید به سرور خود متصل شوید و تأیید کنید که همه چیز کار می کند. اگر از FileZilla استفاده می کنید ، یک گفتگوی حاوی اطلاعات سازمان شما (یا هر آنچه که هنگام تولید گواهی قبلی وارد کرده اید) باید هنگام اتصال باز شود. خروجی باید شبیه به این باشد:

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

برای کسب اطلاعات بیشتر در مورد vsFTPd ، صفحات دستی آن را بررسی کنید:

man vsftpd