วิธีการที่ปลอดภัย vsFTPd ด้วย SSL / TLS

• การติดตั้ง vsFTPd
• สร้างใบรับรองที่ลงนามด้วยตนเอง
• ติดตั้งใบรับรองใหม่ใน vsFTPd
• ยืนยันการติดตั้ง

FTP ที่ปลอดภัยมากหรือเพียงแค่vsFTPdเป็นซอฟต์แวร์น้ำหนักเบาที่มีความสามารถในการปรับแต่ง ในบทช่วยสอนนี้เราจะรักษาความปลอดภัยการติดตั้งที่มีอยู่แล้วในระบบ Debian โดยใช้ใบรับรอง SSL / TLS ที่ลงชื่อด้วยตนเองของเราเอง แม้ว่ามันจะถูกเขียนขึ้นสำหรับ Debian แต่ก็ควรทำงานกับลีนุกซ์ส่วนใหญ่เช่น Ubuntu และ CentOS เป็นต้น

---

การติดตั้ง vsFTPd

บน Linux VPS ใหม่คุณต้องติดตั้ง vsFTPd ก่อน แม้ว่าคุณจะได้พบกับขั้นตอนพื้นฐานในการติดตั้งvsftpdในการกวดวิชานี้ผมขอแนะนำให้คุณอ่านทั้งสองการสอนรายละเอียดมากขึ้นเช่นกัน: การติดตั้ง vsftpd บน Debian / Ubuntuและการติดตั้ง vsftpd บน CentOS ทุกขั้นตอนเกี่ยวกับการติดตั้งได้รับการอธิบายอย่างละเอียด

การติดตั้งบน Debian / Ubuntu:

apt-get install vsftpd

การติดตั้งบน CentOS:

yum install epel-release
yum install vsftpd

การกำหนดค่า เปิดแฟ้มการกำหนดค่า: /etc/vsftpd.confnanoในโปรแกรมแก้ไขข้อความที่คุณชื่นชอบในการใช้งานนี้เรากวดวิชา

nano /etc/vsftpd.conf

วางบรรทัดต่อไปนี้ลงในการกำหนดค่า:

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

เสร็จสิ้นโดยเริ่มต้น vsFTPd daemon ของคุณใหม่:

/etc/init.d/vsftpd restart

ตอนนี้คุณควรจะสามารถเข้าสู่ระบบในฐานะผู้ใช้ท้องถิ่นผ่าน FTP ได้ตอนนี้เรามาดำเนินการต่อและรักษาความปลอดภัยซอฟต์แวร์นี้

---

สร้างใบรับรองที่ลงนามด้วยตนเอง

โดยทั่วไปแล้วใบรับรองที่ลงนามเองจะใช้ในโปรโตคอลข้อตกลงพับลิกคีย์ขณะนี้คุณจะใช้opensslเพื่อสร้างพับลิกคีย์และไพรเวตคีย์ที่สอดคล้องกัน ก่อนอื่นเราต้องสร้างไดเร็กตอรี่เพื่อเก็บไฟล์กุญแจทั้งสองนี้, โดยเฉพาะอย่างยิ่งในตำแหน่งที่ปลอดภัยที่ผู้ใช้ทั่วไปไม่สามารถเข้าถึงได้

mkdir -p /etc/vsftpd/ssl

ตอนนี้เป็นการสร้างใบรับรองจริงเราจะเก็บคีย์ทั้งสองไว้ในไฟล์เดียวกัน ( /etc/vsftpd/ssl/vsftpd.pem ):

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

หลังจากดำเนินการคำสั่งคุณจะถูกถามคำถามสองสามข้อเช่นรหัสประเทศรัฐเมืองชื่อองค์กร ฯลฯ ใช้ข้อมูลของคุณเองหรือองค์กรของคุณ ตอนนี้บรรทัดที่สำคัญที่สุดคือชื่อสามัญซึ่งจะต้องตรงกับที่อยู่ IP ของ VPS ของคุณหรือชื่อโดเมนที่ชี้ไปที่มัน

ใบรับรองนี้จะมีอายุ 365 วัน (~ 1 ปี) จะใช้โปรโตคอลข้อตกลงคีย์ RSA ที่มีความยาวคีย์ 4096 บิตและไฟล์ที่มีทั้งกุญแจจะถูกเก็บไว้ในไดเรกทอรีใหม่ที่เราเพิ่งสร้าง สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับความยาวที่สำคัญและเป็นของที่เกี่ยวกับการรักษาความปลอดภัยเห็นนี้: recomendations การเข้ารหัสลับครั้งที่สอง

---

ติดตั้งใบรับรองใหม่ใน vsFTPd

ในการเริ่มใช้ใบรับรองใหม่ของเราและให้การเข้ารหัสเราจำเป็นต้องเปิดไฟล์การกำหนดค่าอีกครั้ง:

nano /etc/vsftpd.conf

เรา��ำเป็นต้องเพิ่มเส้นทางไปยังใบรับรองและไฟล์คีย์ใหม่ของเรา เนื่องจากมันถูกเก็บไว้ในไฟล์เดียวกันมันก็ควรจะเหมือนกันภายในการกำหนดค่าเช่นกัน

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

เราต้องเพิ่มบรรทัดนี้เพื่อให้แน่ใจว่า SSL จะเปิดใช้งาน:

ssl_enable=YES

อีกทางเลือกหนึ่งเราอาจปิดกั้นผู้ใช้ที่ไม่ระบุชื่อจากการใช้ SSL เนื่องจากไม่จำเป็นต้องเข้ารหัสบนเซิร์ฟเวอร์ FTP สาธารณะ

allow_anon_ssl=NO

ต่อไปเราต้องระบุว่าจะใช้ SSL / TLS เมื่อใดซึ่งจะเปิดใช้งานการเข้ารหัสทั้งสำหรับการถ่ายโอนข้อมูลและข้อมูลรับรองการเข้าสู่ระบบ

force_local_data_ssl=YES
force_local_logins_ssl=YES

เราอาจระบุเวอร์ชันและโปรโตคอลที่จะใช้ TLS โดยทั่วไปมีความปลอดภัยมากกว่า SSL และเราอาจอนุญาตให้ TLS และในเวลาเดียวกันปิดกั้น SSL รุ่นเก่ากว่า

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

จำเป็นต้องใช้ SSL ซ้ำและการใช้ ciphers สูงจะช่วยปรับปรุงความปลอดภัย จากหน้าคนของ vsFTPd:

require_ssl_reuse หากตั้งค่าเป็นใช่การเชื่อมต่อข้อมูล SSL ทั้งหมดจะต้องแสดงการใช้เซสชัน SSL ซ้ำอีกครั้ง (ซึ่งพิสูจน์ให้เห็นว่าพวกเขารู้ว่ามีข้อมูลลับหลักเดียวกับช่องควบคุม) แม้ว่านี่จะเป็นค่าเริ่มต้นที่ปลอดภัย แต่ก็อาจทำให้ไคลเอนต์ FTP จำนวนมากเสียดังนั้นคุณอาจต้องการปิดใช้งาน สำหรับการอภิปรายเกี่ยวกับผลที่ตามมาดูที่ http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html (เพิ่มใน v2.1.0)

ssl_ciphers ตัวเลือกนี้สามารถใช้เพื่อเลือก SSL ciphers vsftpd ที่อนุญาตสำหรับการเชื่อมต่อ SSL ที่เข้ารหัส ดูรายละเอียดเพิ่มเติมในหน้า ciphers man โปรดทราบว่าการ จำกัด ciphers อาจเป็นข้อควรระวังด้านความปลอดภัยที่มีประโยชน์เนื่องจากจะป้องกันไม่ให้บุคคลภายนอกที่เป็นอันตรายบังคับให้เข้ารหัสซึ่งพวกเขาพบปัญหา

require_ssl_reuse=YES
ssl_ciphers=HIGH

เสร็จสิ้นโดยรีสตาร์ทvsftpddaemon

/etc/init.d/vsftpd restart

---

ยืนยันการติดตั้ง

และนั่นคือตอนนี้คุณควรจะสามารถเชื่อมต่อกับเซิร์ฟเวอร์ของคุณและยืนยันว่าทุกอย่างทำงานได้ หากคุณกำลังใช้ FileZilla กล่องโต้ตอบที่มีข้อมูลองค์กรของคุณ (หรือสิ่งที่คุณป้อนเมื่อสร้างใบรับรองก่อนหน้านี้) ควรเปิดเมื่อมีการเชื่อมต่อ ผลลัพธ์ควรมีลักษณะคล้ายกับสิ่งนี้:

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับ vsFTPd ลองดูที่หน้าคู่มือ:

man vsftpd