Как защитить vsFTPd с помощью SSL / TLS

• Установка vsFTPd
• Создать самозаверяющий сертификат
• Установите новый сертификат в vsFTPd
• Подтвердите установку

Очень безопасный FTP-демон, или просто vsFTPd, - это легкое программное обеспечение с отличными возможностями настройки. В этом руководстве мы собираемся защитить уже существующую установку в системе Debian, используя наш собственный самозаверяющий сертификат SSL / TLS. Несмотря на то, что он написан для Debian, он должен работать на большинстве дистрибутивов Linux, таких как Ubuntu и CentOS, например.

Установка vsFTPd

На новом Linux VPS вам сначала нужно установить vsFTPd. Хотя вы найдете основные шаги по установке vsFTPd в этом руководстве, я рекомендую вам также прочитать эти два более подробных руководства: Установка vsFTPd в Debian / Ubuntu и Установка vsFTPd в CentOS . Все шаги по установке более подробно объяснены там.

Установка в Debian / Ubuntu:

apt-get install vsftpd

Установка на CentOS:

yum install epel-release
yum install vsftpd

Конфигурация Откройте файл конфигурации: /etc/vsftpd.conf в вашем любимом текстовом редакторе, в этом уроке мы используем nano.

nano /etc/vsftpd.conf

Вставьте следующие строки в конфигурацию:

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

В завершение перезапустите демон vsFTPd:

/etc/init.d/vsftpd restart

Теперь вы должны быть в состоянии войти в систему как любой локальный пользователь через FTP, теперь давайте перейдем и защитим это программное обеспечение.

Создать самозаверяющий сертификат

Самозаверяющий сертификат обычно используется в протоколе соглашения с открытым ключом, теперь вы будете использовать его opensslдля генерации открытого ключа и соответствующего закрытого ключа. Прежде всего нам нужно создать каталог для хранения этих двух файлов ключей, желательно в безопасном месте, к которому обычные пользователи не могут получить доступ.

mkdir -p /etc/vsftpd/ssl

Теперь для фактического создания сертификата мы собираемся хранить оба ключа в одном файле ( /etc/vsftpd/ssl/vsftpd.pem ):

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

После выполнения команды вам будет предложено ответить на несколько вопросов, таких как код страны, штат, город, название организации и т. Д. Используйте свою собственную информацию или информацию о вашей организации. Теперь самая важная строка - это Общее имя, которое должно соответствовать IP-адресу вашего VPS, или имя домена, указывающее на него.

Этот сертификат будет действителен в течение 365 дней (~ 1 год), он будет использовать протокол соглашения о ключах RSA с длиной ключа 4096 бит, и файл, содержащий оба ключа, будет сохранен в новом каталоге, который мы только что создали. Подробнее о длине ключа и его отношении к безопасности см. Здесь: Рекомендации Encryption II .

Установите новый сертификат в vsFTPd

Чтобы начать использовать наш новый сертификат и, следовательно, обеспечить шифрование, нам нужно снова открыть файл конфигурации:

nano /etc/vsftpd.conf

Нам нужно добавить пути к нашим новым файлам сертификатов и ключей. Поскольку они хранятся в одном и том же файле, они должны быть одинаковыми и внутри конфигурации.

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

Мы должны добавить эту строку, чтобы убедиться, что SSL будет включен:

ssl_enable=YES

При желании мы можем запретить анонимным пользователям использовать SSL, поскольку на общедоступном FTP-сервере шифрование не требуется.

allow_anon_ssl=NO

Далее нам нужно указать, когда использовать SSL / TLS, это включит шифрование как для передачи данных, так и для входа в систему.

force_local_data_ssl=YES
force_local_logins_ssl=YES

Мы также можем указать, какие версии и протоколы будут использоваться. TLS, как правило, более безопасен, чем SSL, и поэтому мы можем разрешить TLS и в то же время заблокировать более старые версии SSL.

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

Требовать повторного использования SSL и использование высоких шифров также поможет повысить безопасность. Из справочных страниц vsFTPd:

require_ssl_reuse Если установлено значение yes, все соединения данных SSL должны демонстрировать повторное использование сеанса SSL (что доказывает, что они знают тот же главный секрет, что и канал управления). Хотя это безопасное значение по умолчанию, оно может нарушить работу многих FTP-клиентов, поэтому вы можете отключить его. Для обсуждения последствий см. Http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html (добавлено в v2.1.0).

ssl_ciphers Этот параметр можно использовать для выбора шифров SSL, которые vsftpd будет разрешать для зашифрованных соединений SSL. См. Справочную страницу шифров для получения дополнительной информации. Обратите внимание, что ограничение шифров может быть полезной мерой безопасности, поскольку оно предотвращает взлом злоумышленников, использующих шифр, с которым у них возникли проблемы.

require_ssl_reuse=YES
ssl_ciphers=HIGH

Завершите, перезапустив vsftpdдемон

/etc/init.d/vsftpd restart

Подтвердите установку

И все, теперь вы должны иметь возможность подключиться к вашему серверу и подтвердить, что все работает. Если вы используете FileZilla, при подключении должно открываться диалоговое окно, содержащее информацию о вашей организации (или то, что вы ввели при создании сертификата ранее). Вывод должен выглядеть примерно так:

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

Чтобы узнать больше о vsFTPd, посмотрите его справочные страницы:

man vsftpd