Cara Melindungi vsFTPd Dengan SSL / TLS

• Pemasangan vsFTPd
• Buat sijil yang ditandatangani sendiri
• Pasang sijil baru di vsFTPd
• Sahkan pemasangan

Daemon FTP Sangat Selamat, atau hanya vsFTPd adalah perisian yang ringan dengan kemampuan untuk menyesuaikan diri. Dalam tutorial ini kita akan mendapatkan pemasangan yang sudah ada pada sistem Debian menggunakan sijil SSL / TLS yang ditandatangani sendiri. Walaupun ditulis untuk Debian, ia harus berfungsi pada sebilangan besar pengedaran Linux seperti Ubuntu dan CentOS misalnya.

Pemasangan vsFTPd

Pada VPS Linux yang baru, anda perlu memasang vsFTPd terlebih dahulu. Walaupun anda akan menemui langkah-langkah asas untuk memasang vsFTPd dalam tutorial ini, saya cadangkan anda untuk membaca dua tutorial yang lebih terperinci ini juga: Siapkan vsFTPd di Debian / Ubuntu dan Pasang vsFTPd di CentOS . Semua langkah mengenai pemasangan dijelaskan dengan lebih teliti di sana.

Pemasangan pada Debian / Ubuntu:

apt-get install vsftpd

Pemasangan di CentOS:

yum install epel-release
yum install vsftpd

Konfigurasi Buka fail konfigurasi: /etc/vsftpd.conf di editor teks kegemaran anda, dalam tutorial ini kita gunakan nano.

nano /etc/vsftpd.conf

Tampalkan baris berikut ke dalam konfigurasi:

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

Selesaikan dengan memulakan semula daemon vsFTPd anda:

/etc/init.d/vsftpd restart

Anda sekarang seharusnya dapat log masuk seperti mana-mana pengguna tempatan melalui FTP, sekarang mari kita teruskan dan selamatkan perisian ini.

Buat sijil yang ditandatangani sendiri

Sijil yang ditandatangani sendiri biasanya digunakan dalam protokol perjanjian kunci awam, kini anda akan gunakan openssluntuk menghasilkan kunci awam dan kunci peribadi yang sesuai. Pertama sekali kita perlu membuat direktori untuk menyimpan dua fail utama ini, lebih baik di lokasi yang selamat yang tidak dapat diakses oleh pengguna biasa.

mkdir -p /etc/vsftpd/ssl

Sekarang untuk generasi sebenar sijil, kita akan menyimpan kedua-dua kunci dalam fail yang sama ( /etc/vsftpd/ssl/vsftpd.pem ):

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

Setelah melaksanakan perintah tersebut, anda akan ditanya beberapa soalan seperti kod negara, negeri, bandar, nama organisasi dan lain-lain. Gunakan maklumat organisasi atau organisasi anda sendiri. Sekarang baris yang paling penting adalah nama Umum yang mesti sepadan dengan alamat IP VPS anda, sebagai alternatif nama domain yang menunjuk ke arah itu.

Sijil ini akan berlaku selama 365 hari (~ 1 tahun), ia akan menggunakan protokol perjanjian kunci RSA dengan panjang kunci 4096 bit, dan fail yang mengandungi kedua-dua kunci akan disimpan di direktori baru yang baru kami buat. Untuk keterangan lebih lanjut mengenai panjang kunci dan berkaitan dengan keselamatan lihat ini: cadangan Encryption II .

Pasang sijil baru di vsFTPd

Untuk mula menggunakan sijil baru kami dan dengan demikian memberikan penyulitan, kami perlu membuka fail konfigurasi sekali lagi:

nano /etc/vsftpd.conf

Kami perlu menambah jalan ke sijil baru dan fail utama kami. Oleh kerana ia disimpan dalam fail yang sama, ia harus sama di dalam konfigurasi juga.

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

Kita mesti menambah baris ini untuk memastikan SSL diaktifkan:

ssl_enable=YES

Secara pilihan, kami boleh menyekat pengguna tanpa nama daripada menggunakan SSL, kerana penyulitan tidak diperlukan pada pelayan FTP awam.

allow_anon_ssl=NO

Seterusnya kita perlu menentukan kapan menggunakan SSL / TLS, ini akan membolehkan penyulitan untuk pemindahan data dan tauliah log masuk

force_local_data_ssl=YES
force_local_logins_ssl=YES

Kami juga boleh menentukan versi dan protokol apa yang akan digunakan. TLS secara amnya lebih selamat daripada SSL dan oleh itu kami membenarkan TLS dan pada masa yang sama menyekat versi SSL yang lebih lama.

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

Memerlukan penggunaan semula SSL dan penggunaan cipher tinggi juga akan membantu meningkatkan keselamatan. Dari halaman manual vsFTPd:

required_ssl_reuse Jika ditetapkan ke ya, semua sambungan data SSL diperlukan untuk menunjukkan penggunaan semula sesi SSL (yang membuktikan bahawa mereka mengetahui rahsia induk yang sama dengan saluran kawalan). Walaupun ini adalah lalai yang selamat, ia mungkin mematahkan banyak klien FTP, jadi anda mungkin ingin melumpuhkannya. Untuk perbincangan mengenai akibatnya, lihat http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html (Ditambahkan dalam v2.1.0).

ssl_ciphers Pilihan ini dapat digunakan untuk memilih ciphers SSL vsftpd mana yang akan membolehkan sambungan SSL yang dienkripsi. Lihat halaman man ciphers untuk keterangan lebih lanjut. Perhatikan bahawa mengehadkan cipher boleh menjadi langkah keselamatan yang berguna kerana ia menghalang pihak-pihak terpencil yang memaksa memaksakan cipher yang mereka hadapi.

require_ssl_reuse=YES
ssl_ciphers=HIGH

Selesaikan dengan memulakan semula vsftpddaemon

/etc/init.d/vsftpd restart

Sahkan pemasangan

Dan itu sahaja, anda kini boleh menyambung ke pelayan anda dan mengesahkan bahawa semuanya berfungsi. Sekiranya anda menggunakan FileZilla, dialog yang mengandungi maklumat organisasi anda (atau apa sahaja yang anda masukkan semasa membuat sijil lebih awal) harus dibuka semasa sambungan. Hasilnya akan kelihatan serupa dengan ini:

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

Untuk mengetahui lebih lanjut mengenai vsFTPd, lihat halaman manualnya:

man vsftpd