Cara Mengamankan vsFTPd Dengan SSL / TLS

• Instalasi vsFTPd
• Hasilkan sertifikat yang ditandatangani sendiri
• Instal sertifikat baru di dalam vsFTPd
• Konfirmasikan pemasangan

Daemon FTP yang Sangat Aman, atau VSFTPd adalah perangkat lunak yang ringan dengan kemampuan menyesuaikan yang hebat. Dalam tutorial ini kita akan mengamankan instalasi yang sudah ada pada sistem Debian menggunakan sertifikat SSL / TLS yang ditandatangani sendiri. Meskipun ditulis untuk Debian, ia seharusnya berfungsi pada sebagian besar distribusi Linux seperti Ubuntu dan CentOS misalnya.

Instalasi vsFTPd

Pada VPS Linux baru Anda harus menginstal vsFTPd terlebih dahulu. Meskipun Anda akan menemukan langkah-langkah dasar untuk menginstal vsFTPd dalam tutorial ini, saya sarankan Anda untuk membaca dua tutorial yang lebih terperinci ini juga: Setup vsFTPd pada Debian / Ubuntu dan Instalasi vsFTPd pada CentOS . Semua langkah tentang instalasi dijelaskan dengan lebih hati-hati di sana.

Instalasi pada Debian / Ubuntu:

apt-get install vsftpd

Instalasi pada CentOS:

yum install epel-release
yum install vsftpd

Konfigurasi Buka file konfigurasi: /etc/vsftpd.conf di editor teks favorit Anda, dalam tutorial ini kami gunakan nano.

nano /etc/vsftpd.conf

Rekatkan baris berikut ke dalam konfigurasi:

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

Selesaikan dengan memulai ulang daemon vsFTPd Anda:

/etc/init.d/vsftpd restart

Anda sekarang dapat masuk sebagai pengguna lokal melalui FTP, sekarang mari kita lanjutkan dan amankan perangkat lunak ini.

Hasilkan sertifikat yang ditandatangani sendiri

Sertifikat yang ditandatangani sendiri biasanya digunakan dalam protokol perjanjian kunci publik, sekarang Anda akan menggunakan openssluntuk menghasilkan kunci publik dan kunci pribadi yang sesuai. Pertama-tama kita perlu membuat direktori untuk menyimpan dua file kunci ini, lebih disukai di lokasi yang aman yang tidak dapat diakses oleh pengguna normal.

mkdir -p /etc/vsftpd/ssl

Sekarang untuk pembuatan sertifikat yang sebenarnya, kita akan menyimpan kedua kunci dalam file yang sama ( /etc/vsftpd/ssl/vsftpd.pem ):

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

Setelah menjalankan perintah, Anda akan ditanya beberapa pertanyaan seperti kode negara, negara bagian, kota, nama organisasi, dll. Gunakan informasi Anda sendiri atau organisasi Anda. Sekarang baris yang paling penting adalah nama umum yang harus cocok dengan alamat IP VPS Anda, atau nama domain yang menunjuk padanya.

Sertifikat ini akan berlaku selama 365 hari (~ 1 tahun), akan menggunakan protokol perjanjian kunci RSA dengan panjang kunci 4096 bit, dan file yang berisi kedua kunci akan disimpan di direktori baru yang baru saja kita buat. Untuk detail lebih lanjut tentang panjang kunci dan hubungannya dengan keamanan lihat ini: Rekomendasi Enkripsi II .

Instal sertifikat baru di dalam vsFTPd

Untuk mulai menggunakan sertifikat baru kami dan dengan demikian menyediakan enkripsi, kami perlu membuka file konfigurasi lagi:

nano /etc/vsftpd.conf

Kita perlu menambahkan jalur ke sertifikat baru dan file kunci kami. Karena mereka disimpan dalam file yang sama itu harus sama di dalam konfigurasi juga.

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

Kami harus menambahkan baris ini untuk memastikan SSL akan diaktifkan:

ssl_enable=YES

Secara opsional, kami dapat memblokir pengguna anonim dari menggunakan SSL, karena enkripsi tidak diperlukan pada server FTP publik.

allow_anon_ssl=NO

Selanjutnya kita perlu menentukan kapan harus menggunakan SSL / TLS, ini akan memungkinkan enkripsi untuk transfer data dan kredensial login

force_local_data_ssl=YES
force_local_logins_ssl=YES

Kami juga dapat menentukan versi dan protokol apa yang akan digunakan. TLS umumnya lebih aman daripada SSL dan karenanya kami dapat mengizinkan TLS dan pada saat yang sama memblokir versi SSL yang lebih lama.

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

Mengharuskan penggunaan kembali SSL dan penggunaan sandi tinggi juga akan membantu meningkatkan keamanan. Dari halaman manual vsFTPd:

require_ssl_reuse Jika diatur ke ya, semua koneksi data SSL diharuskan menunjukkan penggunaan kembali sesi SSL (yang membuktikan bahwa mereka mengetahui rahasia utama yang sama dengan saluran kontrol). Meskipun ini adalah default yang aman, ini dapat merusak banyak klien FTP, jadi Anda mungkin ingin menonaktifkannya. Untuk diskusi tentang konsekuensi, lihat http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html (Ditambahkan dalam v2.1.0).

ssl_ciphers Opsi ini dapat digunakan untuk memilih cipher SSL mana vsftpd yang akan memungkinkan untuk koneksi SSL terenkripsi. Lihat halaman manual sandi untuk detail lebih lanjut. Perhatikan bahwa membatasi sandi dapat menjadi tindakan pencegahan keamanan yang berguna karena mencegah pihak jarak jauh yang jahat memaksa sandi yang mereka temukan bermasalah.

require_ssl_reuse=YES
ssl_ciphers=HIGH

Selesaikan dengan me-restart vsftpddaemon

/etc/init.d/vsftpd restart

Konfirmasikan pemasangan

Dan itu saja, Anda sekarang harus dapat terhubung ke server Anda dan mengkonfirmasi bahwa semuanya berfungsi. Jika Anda menggunakan FileZilla, dialog yang berisi informasi organisasi Anda (atau apa pun yang Anda masukkan saat membuat sertifikat sebelumnya) akan terbuka saat koneksi. Outputnya akan terlihat seperti ini:

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

Untuk mempelajari lebih lanjut tentang vsFTPd, lihat halaman manualnya:

man vsftpd