SSL / TLS के साथ vsFTPd को कैसे सुरक्षित करें

• VsFTPd की स्थापना
• एक स्व हस्ताक्षरित प्रमाण पत्र बनाएं
• VsFTPd में नया प्रमाणपत्र स्थापित करें
• स्थापना की पुष्टि करें

बहुत ही सुरक्षित एफ़टीपी डेमॉन, या बस vsFTPd अनुकूलित करने की महान क्षमता के साथ सॉफ्टवेयर का एक हल्का टुकड़ा है। इस ट्यूटोरियल में हम अपने स्वयं के हस्ताक्षरित एसएसएल / टीएलएस प्रमाणपत्र का उपयोग करके डेबियन सिस्टम पर पहले से मौजूद इंस्टॉलेशन को सुरक्षित करने जा रहे हैं। इसके बावजूद कि यह डेबियन के लिए लिखा गया है, उदाहरण के लिए उबंटू और सेंटोस जैसे अधिकांश लिनक्स वितरण पर काम करना चाहिए।

VsFTPd की स्थापना

एक ताजा लिनक्स VPS पर आपको पहले vsFTPd स्थापित करना होगा। हालाँकि आपको इस ट्यूटोरियल में vsFTPd को स्थापित करने के लिए बुनियादी कदम मिलेंगे । मैं आपको इन दो और विस्तृत ट्यूटोरियल को पढ़ने की सलाह देता हूँ: सेटअप vsFTPd को डेबियन / Ubuntu और CentOS पर vsFTPd स्थापित करने के लिए । स्थापना के बारे में सभी चरणों को वहां अधिक सावधानी से समझाया गया है।

डेबियन / उबंटू पर स्थापना:

apt-get install vsftpd

CentOS पर स्थापना:

yum install epel-release
yum install vsftpd

कॉन्फ़िगरेशन कॉन्फ़िगरेशन फ़ाइल खोलें: /etc/vsftpd.conf अपने पसंदीदा पाठ संपादक में, इस ट्यूटोरियल में हम उपयोग करते हैं nano।

nano /etc/vsftpd.conf

कॉन्फ़िगरेशन में निम्न पंक्तियाँ चिपकाएँ:

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

अपने vsFTPd डेमॉन को पुनः आरंभ करके समाप्त करें:

/etc/init.d/vsftpd restart

अब आपको एफ़टीपी पर किसी भी स्थानीय उपयोगकर्ता के रूप में लॉगिन करने में सक्षम होना चाहिए, अब चलो इस सॉफ़्टवेयर को चालू करें और सुरक्षित करें।

एक स्व हस्ताक्षरित प्रमाण पत्र बनाएं

एक स्वयं हस्ताक्षरित प्रमाणपत्र आमतौर पर सार्वजनिक कुंजी अनुबंध प्रोटोकॉल में उपयोग किया जाता है, अब आप opensslएक सार्वजनिक कुंजी और संबंधित निजी कुंजी उत्पन्न करने के लिए उपयोग करेंगे । सबसे पहले हमें इन दो प्रमुख फ़ाइलों को संग्रहीत करने के लिए एक निर्देशिका बनाने की आवश्यकता है, अधिमानतः एक सुरक्षित स्थान पर सामान्य उपयोगकर्ता पहुंच नहीं सकते हैं।

mkdir -p /etc/vsftpd/ssl

अब प्रमाण पत्र की वास्तविक पीढ़ी के लिए, हम दोनों कीज़ को एक ही फ़ाइल ( /etc/vsftpd/ssl/vsftpd.pem ) में संग्रहीत करने जा रहे हैं :

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

कमांड को निष्पादित करने के बाद आपसे कुछ प्रश्न पूछे जाएंगे जैसे कि देश का कोड, राज्य, शहर, संगठन का नाम आदि। अपनी या अपने संगठनों की जानकारी का उपयोग करें। अब सबसे महत्वपूर्ण लाइन आम नाम है जो आपके वीपीएस के आईपी पते से मेल खाना चाहिए, वैकल्पिक रूप से एक डोमेन नाम जो इसे इंगित करता है।

यह प्रमाण पत्र 365 दिनों (~ 1 वर्ष) के लिए मान्य होगा, यह 4096 बिट्स की एक प्रमुख लंबाई के साथ RSA कुंजी समझौते प्रोटोकॉल का उपयोग करेगा, और दोनों कुंजियों वाली फाइल को हम नई निर्देशिका में संग्रहीत करेंगे। कुंजी लंबाई के बारे में अधिक जानकारी के लिए और यह सुरक्षा के संबंध में है इसे देखें: एन्क्रिप्शन II पुनर्संयोजन ।

VsFTPd में नया प्रमाणपत्र स्थापित करें

हमारे नए प्रमाणपत्र का उपयोग शुरू करने और इस तरह एन्क्रिप्शन प्रदान करने के लिए, हमें कॉन्फ़िगरेशन फ़ाइल को फिर से खोलने की आवश्यकता है:

nano /etc/vsftpd.conf

हमें अपने नए प्रमाणपत्र और मुख्य फ़ाइलों में पथ जोड़ने की आवश्यकता है। चूंकि वे एक ही फ़ाइल में संग्रहीत हैं, यह कॉन्फ़िगरेशन के अंदर भी समान होना चाहिए।

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

SSL सुनिश्चित करने के लिए हमें इस पंक्ति को जोड़ना होगा:

ssl_enable=YES

वैकल्पिक रूप से हम गुमनाम उपयोगकर्ताओं को एसएसएल का उपयोग करने से रोक सकते हैं, क्योंकि एन्क्रिप्शन एक सार्वजनिक एफ़टीपी सर्वर पर आवश्यक नहीं है।

allow_anon_ssl=NO

अगला हमें SSL / TLS का उपयोग करते समय निर्दिष्ट करने की आवश्यकता है, यह डेटा ट्रांसफर और लॉगिन क्रेडेंशियल दोनों के लिए एन्क्रिप्शन को सक्षम करेगा

force_local_data_ssl=YES
force_local_logins_ssl=YES

हम यह भी निर्दिष्ट कर सकते हैं कि किस संस्करण और प्रोटोकॉल का उपयोग किया जाना है। टीएलएस आम तौर पर एसएसएल की तुलना में अधिक सुरक्षित है और इस प्रकार हम टीएलएस की अनुमति दे सकते हैं और उसी समय एसएसएल के पुराने संस्करणों को ब्लॉक कर सकते हैं।

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

SSL पुन: उपयोग की आवश्यकता है और उच्च सिफर के उपयोग से सुरक्षा में सुधार करने में भी मदद मिलेगी। VsFTPd के मैन पेज से:

आवश्यकता_ssl_reuse यदि हाँ में सेट किया जाता है, तो SSL सत्र पुनः उपयोग के लिए सभी SSL डेटा कनेक्शन की आवश्यकता होती है (जो यह साबित करता है कि वे नियंत्रण चैनल के समान ही गुप्त रहस्य जानते हैं)। हालाँकि यह एक सुरक्षित डिफ़ॉल्ट है, यह कई एफ़टीपी ग्राहकों को तोड़ सकता है, इसलिए आप इसे निष्क्रिय करना चाह सकते हैं। परिणामों की चर्चा के लिए, http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html (v2.1.0 में जोड़ा गया) देखें।

ssl_ciphers इस विकल्प का उपयोग यह चुनने के लिए किया जा सकता है कि SSL ciphers vsftpd एन्क्रिप्टेड SSL कनेक्शनों के लिए अनुमति देगा। अधिक जानकारी के लिए सिफर मैन पेज देखें। ध्यान दें कि सिफर को प्रतिबंधित करना एक उपयोगी सुरक्षा एहतियात हो सकता है क्योंकि यह दुर्भावनापूर्ण दूरस्थ दलों को एक सिफर मजबूर करने से रोकता है जिसके साथ उन्हें समस्याएं मिली हैं।

require_ssl_reuse=YES
ssl_ciphers=HIGH

vsftpdडेमॉन को पुनरारंभ करके समाप्त करें

/etc/init.d/vsftpd restart

स्थापना की पुष्टि करें

और यही है, अब आपको अपने सर्वर से कनेक्ट करने और यह पुष्टि करने में सक्षम होना चाहिए कि सब कुछ काम करता है। यदि आप फ़ाइलज़िला का उपयोग अपने संगठन की जानकारी (या जो कुछ भी आपने पहले प्रमाण पत्र बनाते समय दर्ज किया था) का उपयोग करके कनेक्शन पर खोलना चाहिए। आउटपुट तब इस तरह दिखना चाहिए:

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

VsFTPd के बारे में अधिक जानने के लिए, यह मैन्युअल पेज देखें:

man vsftpd