Jak zabezpieczyć vsFTPd za pomocą SSL / TLS

• Instalacja vsFTPd
• Wygeneruj samopodpisany certyfikat
• Zainstaluj nowy certyfikat w vsFTPd
• Potwierdź instalację

Bardzo bezpieczny demon FTP lub po prostu vsFTPd to lekki program z dużą możliwością dostosowywania. W tym samouczku zamierzamy zabezpieczyć już istniejącą instalację w systemie Debian przy użyciu naszego własnego certyfikatu SSL / TLS. Mimo że jest napisany dla Debiana, powinien działać w większości dystrybucji Linuksa, takich jak Ubuntu i CentOS.

Instalacja vsFTPd

Na świeżym Linux VPS musisz najpierw zainstalować vsFTPd. Chociaż znajdziesz podstawowe kroki instalacji vsFTPd w tym samouczku, polecam również przeczytanie tych dwóch bardziej szczegółowych samouczków: Instalacja vsFTPd na Debian / Ubuntu i Instalacja vsFTPd na CentOS . Wszystkie kroki dotyczące instalacji są tam dokładniej wyjaśnione.

Instalacja na Debian / Ubuntu:

apt-get install vsftpd

Instalacja na CentOS:

yum install epel-release
yum install vsftpd

Konfiguracja Otwórz plik konfiguracyjny: /etc/vsftpd.conf w swoim ulubionym edytorze tekstu, w tym samouczku używamy nano.

nano /etc/vsftpd.conf

Wklej następujące wiersze do konfiguracji:

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

Zakończ, uruchamiając ponownie demona vsFTPd:

/etc/init.d/vsftpd restart

Powinieneś być teraz w stanie zalogować się jako dowolny użytkownik lokalny za pośrednictwem FTP, teraz przejdźmy i zabezpieczmy to oprogramowanie.

Wygeneruj samopodpisany certyfikat

Samopodpisany certyfikat jest zwykle używany w protokole umowy o klucz publiczny, teraz będziesz go używać openssldo generowania klucza publicznego i odpowiedniego klucza prywatnego. Przede wszystkim musimy stworzyć katalog do przechowywania tych dwóch kluczowych plików, najlepiej w bezpiecznej lokalizacji, do której zwykli użytkownicy nie mają dostępu.

mkdir -p /etc/vsftpd/ssl

Teraz do faktycznego wygenerowania certyfikatu będziemy przechowywać oba klucze w tym samym pliku ( /etc/vsftpd/ssl/vsftpd.pem ):

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

Po wykonaniu polecenia zostaniesz poproszony o kilka pytań, takich jak kod kraju, stan, miasto, nazwa organizacji itp. Użyj informacji własnej lub swojej organizacji. Teraz najważniejszą linią jest nazwa pospolita, która musi pasować do adresu IP twojego VPS, lub nazwa domeny wskazująca na to.

Ten certyfikat będzie ważny przez 365 dni (~ 1 rok), użyje protokołu umowy klucza RSA o długości klucza 4096 bitów, a plik zawierający oba klucze zostanie zapisany w nowym katalogu, który właśnie utworzyliśmy. Aby uzyskać więcej informacji na temat długości klucza i jego związku z bezpieczeństwem, zobacz: Zalecenia dotyczące szyfrowania II .

Zainstaluj nowy certyfikat w vsFTPd

Aby rozpocząć korzystanie z naszego nowego certyfikatu i tym samym zapewnić szyfrowanie, musimy ponownie otworzyć plik konfiguracyjny:

nano /etc/vsftpd.conf

Musimy dodać ścieżki do naszego nowego certyfikatu i plików kluczy. Ponieważ są one przechowywane w tym samym pliku, powinno być tak samo w konfiguracji.

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

Musimy dodać ten wiersz, aby upewnić się, że SSL będzie włączony:

ssl_enable=YES

Opcjonalnie możemy zablokować anonimowym użytkownikom korzystanie z SSL, ponieważ szyfrowanie nie jest potrzebne na publicznym serwerze FTP.

allow_anon_ssl=NO

Następnie musimy określić, kiedy używać SSL / TLS, umożliwi to szyfrowanie zarówno dla przesyłania danych, jak i poświadczeń logowania

force_local_data_ssl=YES
force_local_logins_ssl=YES

Możemy również określić, jakie wersje i protokoły mają być używane. TLS jest ogólnie bezpieczniejszy niż SSL, dlatego możemy zezwolić na TLS i jednocześnie blokować starsze wersje SSL.

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

Wymagaj ponownego użycia protokołu SSL, a użycie wysokich szyfrów pomoże również poprawić bezpieczeństwo. Ze stron podręcznika vsFTPd:

Wymagane_sss_reuse Jeśli ustawione na tak, wszystkie połączenia danych SSL są wymagane do ponownego użycia sesji SSL (co dowodzi, że znają ten sam główny klucz tajny jak kanał kontrolny). Chociaż jest to bezpieczne ustawienie domyślne, może uszkodzić wielu klientów FTP, więc możesz je wyłączyć. Omówienie konsekwencji znajduje się na stronie http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html (Dodano w wersji 2.1.0).

ssl_ciphers Za pomocą tej opcji można wybrać, które szyfry SSL vsftpd zezwalają na szyfrowane połączenia SSL. Więcej informacji na stronie podręcznika szyfrów. Pamiętaj, że ograniczenie szyfrów może być użytecznym środkiem ostrożności, ponieważ zapobiega złośliwym stronom, które zmuszają się do szyfrowania, z którym mają problemy.

require_ssl_reuse=YES
ssl_ciphers=HIGH

Zakończ, uruchamiając ponownie vsftpddemona

/etc/init.d/vsftpd restart

Potwierdź instalację

I to wszystko, teraz powinieneś być w stanie połączyć się z serwerem i potwierdzić, że wszystko działa. Jeśli używasz FileZilla, okno dialogowe zawierające informacje o organizacji (lub cokolwiek, co wprowadziłeś podczas generowania certyfikatu wcześniej) powinno zostać otwarte po połączeniu. Wynik powinien wyglądać podobnie do tego:

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

Aby dowiedzieć się więcej o vsFTPd, sprawdź strony podręcznika:

man vsftpd