SSL / TLS로 vsFTPd를 보호하는 방법

• vsFTPd 설치
• 자체 서명 된 인증서 생성
• vsFTPd에 새 인증서 설치
• 설치 확인

매우 안전한 FTP 데몬 또는 간단히 vsFTPd 는 커스터마이징 기능이 뛰어난 경량 소프트웨어입니다. 이 튜토리얼에서는 자체 서명 된 SSL / TLS 인증서를 사용하여 데비안 시스템에 이미 존재하는 설치를 보호합니다. 데비안 용으로 작성되었지만 Ubuntu 및 CentOS와 같은 대부분의 Linux 배포판에서 작동해야합니다.

---

vsFTPd 설치

새로운 Linux VPS에서는 vsFTPd를 먼저 설치해야합니다. 이 튜토리얼에서 vsFTPd 를 설치하는 기본 단계를 찾을 수 있지만 Debian / Ubuntu의 Setup vsFTPd 및 CentOS에 vsFTPd 설치라는 두 가지 자세한 자습서를 읽는 것이 좋습니다 . 설치와 관련된 모든 단계가 더 자세히 설명되어 있습니다.

데비안 / 우분투 설치 :

apt-get install vsftpd

CentOS에 설치 :

yum install epel-release
yum install vsftpd

구성 선호하는 텍스트 편집기에서 구성 파일 /etc/vsftpd.conf 를 엽니 다 nano. 이 자습서에서는 사용 합니다.

nano /etc/vsftpd.conf

다음 줄을 구성에 붙여 넣습니다.

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

vsFTPd 데몬을 다시 시작하여 완료하십시오.

/etc/init.d/vsftpd restart

이제 FTP를 통해 로컬 사용자로 로그인 할 수 있습니다. 이제이 소프트웨어로 이동하여 보안을 설정하십시오.

---

자체 서명 된 인증서 생성

자체 서명 된 인증서는 일반적으로 공개 키 계약 프로토콜에서 사용되며 이제 openssl공개 키와 해당 개인 키를 생성하는 데 사용 됩니다. 우선이 두 키 파일을 저장할 디렉토리를 만들어야합니다. 보통 일반 사용자가 액세스 할 수없는 안전한 위치에 있어야합니다.

mkdir -p /etc/vsftpd/ssl

이제 실제 인증서 생성으로 두 키를 동일한 파일 ( /etc/vsftpd/ssl/vsftpd.pem )에 저장합니다.

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

명령을 실행 한 후 국가 코드, 주, 도시, 조직 이름 등과 같은 몇 가지 질문을 받거나 자신 또는 조직 정보를 사용합니다. 이제 가장 중요한 줄은 VPS의 IP 주소와 일치해야하는 공통 이름 이며, 그렇지 않으면 도메인 이름을 가리 킵니다.

이 인증서는 365 일 (~ 1 년) 동안 유효하며 키 길이가 4096 비트 인 RSA 키 계약 프로토콜을 사용하며 두 키를 모두 포함하는 파일은 방금 만든 새 디렉토리에 저장됩니다. 키 길이 및 보안과의 관계에 대한 자세한 내용은 다음을 참조하십시오 : 암호화 II 권장 사항 .

---

vsFTPd에 새 인증서 설치

새 인증서를 사용하여 암호화를 제공하려면 구성 파일을 다시 열어야합니다.

nano /etc/vsftpd.conf

새 인증서 및 키 파일에 경로를 추가해야합니다. 그것들은 같은 파일에 저장되기 때문에 구성 내부에서도 동일해야합니다.

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

SSL을 활성화하려면이 줄을 추가해야합니다.

ssl_enable=YES

공개 FTP 서버에서는 암호화가 필요하지 않으므로 익명 사용자가 SSL을 사용하지 못하도록 차단할 수도 있습니다.

allow_anon_ssl=NO

다음으로 SSL / TLS 사용시기를 지정해야합니다. 그러면 데이터 전송 및 로그인 자격 증명 모두에 대해 암호화가 가능합니다.

force_local_data_ssl=YES
force_local_logins_ssl=YES

사용할 버전과 프로토콜을 지정할 수도 있습니다. TLS는 일반적으로 SSL보다 안전하므로 TLS를 허용하고 동시에 이전 버전의 SSL을 차단할 수 있습니다.

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

SSL 재사용이 필요하고 높은 암호를 사용하면 보안을 향상시키는 데 도움이됩니다. vsFTPd 매뉴얼 페이지에서 :

require_ssl_reuse yes로 설정하면 모든 SSL 데이터 연결이 SSL 세션 재사용을 나타내야합니다 (제어 채널과 동일한 마스터 시크릿을 알고 있음). 이것은 안전한 기본값이지만 많은 FTP 클라이언트를 손상시킬 수 있으므로 사용하지 않을 수 있습니다. 결과에 대한 설명은 http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html(v2.1.0에서 추가됨)을 참조하십시오.

ssl_ciphers 이 옵션을 사용하여 암호화 된 SSL 연결에 허용 할 SSL 암호 vsftpd를 선택할 수 있습니다. 자세한 내용은 ciphers 매뉴얼 페이지를 참조하십시오. 암호를 제한하는 것은 악의적 인 원격 당사자가 문제를 발견 한 암호를 강요하는 것을 방지하므로 유용한 보안 예방책이 될 수 있습니다.

require_ssl_reuse=YES
ssl_ciphers=HIGH

vsftpd데몬 을 다시 시작하여 완료

/etc/init.d/vsftpd restart

---

설치 확인

이제 서버에 연결하여 모든 것이 작동하는지 확인할 수 있습니다. FileZilla를 사용하는 경우 연결시 조직 정보 (또는 이전에 인증서를 생성 할 때 입력 한 내용)가 포함 된 대화 상자가 열립니다. 출력 결과는 다음과 유사합니다.

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

vsFTPd에 대한 자세한 내용은 매뉴얼 페이지를 참조하십시오.

man vsftpd