Hoe vsFTPd te beveiligen met SSL / TLS

• Installatie van vsFTPd
• Genereer een zelfondertekend certificaat
• Installeer het nieuwe certificaat in vsFTPd
• Bevestig de installatie

Zeer veilige FTP-daemon, of simpelweg vsFTPd, is een lichtgewicht stuk software met een groot aanpassingsvermogen. In deze tutorial gaan we een reeds bestaande installatie op een Debian-systeem beveiligen met behulp van ons eigen zelfondertekende SSL / TLS-certificaat. Ondanks dat het voor Debian is geschreven, zou het op de meeste Linux-distributies zoals Ubuntu en CentOS moeten werken.

Installatie van vsFTPd

Op een nieuwe Linux VPS moet je eerst vsFTPd installeren. Hoewel je in deze tutorial de basisstappen vindt om vsFTPd te installeren, raad ik je aan om ook deze twee meer gedetailleerde tutorials te lezen: Setup vsFTPd op Debian / Ubuntu en vsFTPd op CentOS installeren . Alle stappen met betrekking tot de installatie worden daar nauwkeuriger uitgelegd.

Installatie op Debian / Ubuntu:

apt-get install vsftpd

Installatie op CentOS:

yum install epel-release
yum install vsftpd

Configuratie Open het configuratiebestand: /etc/vsftpd.conf in je favoriete teksteditor, in deze tutorial gebruiken we nano.

nano /etc/vsftpd.conf

Plak de volgende regels in de configuratie:

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

Rond af door uw vsFTPd-daemon opnieuw op te starten:

/etc/init.d/vsftpd restart

U zou nu moeten kunnen inloggen als elke lokale gebruiker via FTP, laten we nu verder gaan en deze software beveiligen.

Genereer een zelfondertekend certificaat

Een zelfondertekend certificaat wordt doorgaans gebruikt in een protocol voor een openbare sleutelovereenkomst, dat u nu zult gebruiken opensslom een ​​openbare sleutel en een bijbehorende persoonlijke sleutel te genereren. Allereerst moeten we een map maken om deze twee sleutelbestanden op te slaan, bij voorkeur op een veilige locatie waar normale gebruikers geen toegang toe hebben.

mkdir -p /etc/vsftpd/ssl

Nu we het certificaat daadwerkelijk hebben gegenereerd, gaan we beide sleutels in hetzelfde bestand opslaan ( /etc/vsftpd/ssl/vsftpd.pem ):

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

Na het uitvoeren van de opdracht wordt u een aantal vragen gesteld, zoals landcode, staat, stad, organisatienaam, enz. Gebruik uw eigen of uw organisatie-informatie. Nu is de belangrijkste regel de algemene naam die moet overeenkomen met het IP-adres van uw VPS, of een domeinnaam die ernaar verwijst.

Dit certificaat is 365 dagen (~ 1 jaar) geldig, gebruikt het RSA-protocol voor sleutelovereenkomsten met een sleutellengte van 4096 bits en het bestand met beide sleutels wordt opgeslagen in de nieuwe directory die we zojuist hebben gemaakt. Zie dit voor meer details over sleutellengte en de relatie met beveiliging: Encryption II-aanbevelingen .

Installeer het nieuwe certificaat in vsFTPd

Om ons nieuwe certificaat te gaan gebruiken en dus versleuteling te bieden, moeten we het configuratiebestand opnieuw openen:

nano /etc/vsftpd.conf

We moeten de paden toevoegen aan ons nieuwe certificaat en sleutelbestanden. Omdat ze in hetzelfde bestand zijn opgeslagen, zou het ook binnen de configuratie hetzelfde moeten zijn.

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

We moeten deze regel toevoegen om ervoor te zorgen dat SSL wordt ingeschakeld:

ssl_enable=YES

Optioneel kunnen we anonieme gebruikers het gebruik van SSL blokkeren, omdat codering niet nodig is op een openbare FTP-server.

allow_anon_ssl=NO

Vervolgens moeten we specificeren wanneer SSL / TLS moet worden gebruikt, dit maakt codering mogelijk voor zowel gegevensoverdracht als inloggegevens

force_local_data_ssl=YES
force_local_logins_ssl=YES

We kunnen ook specificeren welke versies en protocollen moeten worden gebruikt. TLS is over het algemeen veiliger dan SSL en daarom kunnen we TLS toestaan ​​en tegelijkertijd oudere versies van SSL blokkeren.

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

Vereis SSL-hergebruik en het gebruik van hoge cijfers zal ook helpen de beveiliging te verbeteren. Van de man-pagina's van vsFTPd:

Vereist_ssl_reuse Indien ingesteld op Ja, moeten alle SSL-gegevensverbindingen SSL-sessiehergebruik vertonen (wat bewijst dat ze hetzelfde hoofdgeheim kennen als het controlekanaal). Hoewel dit een veilige standaard is, kan het veel FTP-clients kapot maken, dus misschien wilt u het uitschakelen. Voor een bespreking van de gevolgen, zie http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html (toegevoegd in v2.1.0).

ssl_ciphers Deze optie kan worden gebruikt om te selecteren welke SSL-codes vsftpd versleutelde SSL-verbindingen toestaan. Zie de ciphers man-pagina voor meer details. Houd er rekening mee dat het beperken van cijfers een nuttige veiligheidsmaatregel kan zijn, omdat het voorkomt dat kwaadwillende externe partijen een cijfer forceren waarmee ze problemen hebben gevonden.

require_ssl_reuse=YES
ssl_ciphers=HIGH

Rond af door de vsftpddaemon opnieuw op te starten

/etc/init.d/vsftpd restart

Bevestig de installatie

En dat is alles, u zou nu verbinding moeten kunnen maken met uw server en moeten bevestigen dat alles werkt. Als u FileZilla gebruikt, zou er bij het verbinden een dialoogvenster moeten openen met uw organisatiegegevens (of wat u ook hebt ingevoerd bij het genereren van het certificaat eerder). De uitvoer zou er dan ongeveer zo uit moeten zien:

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

Bekijk de handleidingpagina's voor meer informatie over vsFTPd:

man vsftpd