SSL / TLS ile vsFTPd Nasıl Güvenli Hale Getirilir

Çok Güvenli FTP arka plan programı, ya da sadece vsFTPd , özelleştirme yeteneği olan hafif bir yazılım parçasıdır. Bu öğreticide, kendi imzasını taşıyan SSL / TLS sertifikamızı kullanarak bir Debian sisteminde zaten var olan bir kurulumu güvence altına alacağız. Debian için yazılmasına rağmen, örneğin Ubuntu ve CentOS gibi çoğu Linux dağıtımında çalışmalıdır.


VsFTPd kurulumu

Yeni bir Linux VPS'de önce vsFTPd'yi yüklemeniz gerekir. Bu öğreticide vsFTPd'yi yüklemek için temel adımları bulmanıza rağmen, bu iki ayrıntılı öğreticiyi de okumanızı öneririz: Debian / Ubuntu'da vsFTPd Kur ve CentOS'ta vsFTPd Kurma . Kurulumla ilgili tüm adımlar orada daha dikkatli bir şekilde açıklanmıştır.

Debian / Ubuntu üzerine kurulum:

apt-get install vsftpd

CentOS'ta kurulum:

yum install epel-release
yum install vsftpd

Yapılandırma Kullandığımız bu öğreticide, favori metin düzenleyicinizde /etc/vsftpd.conf yapılandırma dosyasını açın nano.

nano /etc/vsftpd.conf

Aşağıdaki satırları yapılandırmaya yapıştırın:

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

VsFTPd arka plan programınızı yeniden başlatarak işlemi tamamlayın:

/etc/init.d/vsftpd restart

Artık FTP üzerinden herhangi bir yerel kullanıcı olarak oturum açabilmeniz gerekir, şimdi bu yazılımı devam ettirip güvenli hale getirelim.


Kendinden imzalı bir sertifika oluşturun

Kendinden imzalı bir sertifika genellikle bir ortak anahtar anlaşma protokolünde kullanılır, şimdi opensslbir ortak anahtar ve karşılık gelen bir özel anahtar oluşturmak için kullanacaksınız . Her şeyden önce, bu iki anahtar dosyayı saklamak için bir dizin yapmamız gerekiyor, tercihen normal kullanıcıların erişemediği güvenli bir yerde.

mkdir -p /etc/vsftpd/ssl

Şimdi sertifikanın gerçek nesline, her iki anahtarı da aynı dosyada saklayacağız ( /etc/vsftpd/ssl/vsftpd.pem ):

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

Komutu yerine getirdikten sonra ülke kodu, eyalet, şehir, kuruluş adı gibi birkaç soru sorulur. Şimdi en önemli satır, VPS'nizin IP adresiyle eşleşmesi gereken Ortak addır , alternatif olarak ona işaret eden bir alan adıdır.

Bu sertifika 365 gün (~ 1 yıl) için geçerli olacak, 4096 bit anahtar uzunluğuna sahip RSA anahtar anlaşması protokolünü kullanacak ve her iki anahtarı içeren dosya az önce oluşturduğumuz yeni dizinde saklanacaktır. Anahtar uzunluğu ve güvenlikle ilişkisi hakkında daha fazla bilgi için, bkz . Şifreleme II önerileri .


Yeni sertifikayı vsFTPd'ye yükleyin

Yeni sertifikamızı kullanmaya başlamak ve böylece şifreleme sağlamak için yapılandırma dosyasını tekrar açmamız gerekir:

nano /etc/vsftpd.conf

Yeni sertifikamıza ve anahtar dosyalarımıza yolları eklememiz gerekiyor. Aynı dosyada saklandıklarından, yapılandırma içinde de aynı olmalıdır.

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

SSL'nin etkinleştirildiğinden emin olmak için bu satırı eklemeliyiz:

ssl_enable=YES

İsteğe bağlı olarak, ortak bir FTP sunucusunda şifreleme gerekmediğinden, anonim kullanıcıların SSL kullanmasını engelleyebiliriz.

allow_anon_ssl=NO

Daha sonra SSL / TLS'nin ne zaman kullanılacağını belirtmemiz gerekiyor, bu hem veri aktarımı hem de giriş kimlik bilgileri için şifrelemeyi etkinleştirecek

force_local_data_ssl=YES
force_local_logins_ssl=YES

Hangi sürümlerin ve protokollerin kullanılacağını da belirleyebiliriz. TLS genellikle SSL'den daha güvenlidir ve bu nedenle TLS'ye izin verebilir ve aynı zamanda SSL'nin eski sürümlerini engelleyebiliriz.

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

SSL'nin yeniden kullanılmasını gerektirdiğinizde, yüksek şifrelerin kullanılması da güvenliğin artırılmasına yardımcı olacaktır. VsFTPd'nin man sayfalarından:

requir_ssl_reuse Evet olarak ayarlanırsa, tüm SSL veri bağlantılarının SSL oturumunu yeniden kullanmaları gerekir (bu, kontrol kanalı ile aynı ana sırrı bildiklerini kanıtlar). Bu güvenli bir varsayılan olsa da, birçok FTP istemcisini bozabileceği için devre dışı bırakmak isteyebilirsiniz. Sonuçları tartışmak için bkz. Http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html (v2.1.0'da eklenmiştir).

ssl_ciphers Bu seçenek hangi SSL şifrelerinin vsftpd'nin şifrelenmiş SSL bağlantılarına izin vereceğini seçmek için kullanılabilir. Daha fazla bilgi için şifre kılavuzu sayfasına bakınız. Şifrelemeleri kısıtlamanın, kötü niyetli uzak tarafların sorunla karşılaştıkları bir şifreyi zorlamasına engel olduğu için yararlı bir güvenlik önlemi olabileceğini unutmayın.

require_ssl_reuse=YES
ssl_ciphers=HIGH

vsftpdDaemon'u yeniden başlatarak bitirin

/etc/init.d/vsftpd restart

Kurulumu onayla

Ve işte bu, şimdi sunucunuza bağlanabilmeniz ve her şeyin çalıştığını doğrulayabilmeniz gerekir. FileZilla kullanıyorsanız, kuruluş bilgilerinizi (veya sertifikayı daha önce oluştururken girdiğiniz her şeyi) içeren bir iletişim kutusu bağlantı kurulduğunda açılmalıdır. Çıktı daha sonra şuna benzer olmalıdır:

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

VsFTPd hakkında daha fazla bilgi edinmek için manuel sayfalarına göz atın:

man vsftpd


Leave a Comment

CentOS 7de LibreNMS Kullanarak Cihazlarınızı İzleyin

CentOS 7de LibreNMS Kullanarak Cihazlarınızı İzleyin

CentOS 7 üzerinde LibreNMS kullanarak ağ cihazlarınızı etkili bir şekilde izleyin. Ağ izleme için gerekli adımları ve yapılandırmaları öğrenin.

Counter-Strike: Global Offensive Server Nasıl Kurulur?

Counter-Strike: Global Offensive Server Nasıl Kurulur?

Counter-Strike: Global Offensive sunucusu kurmak için gerekli adımlar. Gerekli araçlar ve yükleme süreci hakkında bilgi.

Ubuntu 16.04 LTS Üzerinde OpenNMS Kurulumu

Ubuntu 16.04 LTS Üzerinde OpenNMS Kurulumu

OpenNMS, çok sayıda cihazı izlemek ve yönetmek için kullanılabilen bir açık kaynak ağ yönetim platformudur. Ubuntu 16.04 LTS üzerinde OpenNMS kurulumu için tüm adımları keşfedin.

Ubuntu 16.04te LibreNMS Kullanarak Cihazlarınızı İzleyin

Ubuntu 16.04te LibreNMS Kullanarak Cihazlarınızı İzleyin

Farklı Bir Sistem mi Kullanıyorsunuz? LibreNMS tam özellikli bir açık kaynak ağ izleme sistemidir.

26 Büyük Veri Analitik Tekniğine Bir Bakış: 1. Bölüm

26 Büyük Veri Analitik Tekniğine Bir Bakış: 1. Bölüm

26 Büyük Veri Analitik Tekniğine Bir Bakış: 1. Bölüm

Nintendo Switch Hakkında Son Derece Çılgın 6 Şey

Nintendo Switch Hakkında Son Derece Çılgın 6 Şey

Birçoğunuz Switch'in Mart 2017'de çıkacağını ve yeni özelliklerini biliyorsunuz. Bilmeyenler için, 'Switch'i 'olmazsa olmaz bir gadget' yapan özelliklerin bir listesini hazırladık.

Hala Teslim Edilmeyen Teknoloji Sözleri

Hala Teslim Edilmeyen Teknoloji Sözleri

Teknoloji devlerinin sözlerini yerine getirmesini mi bekliyorsunuz? teslim edilmeyenleri kontrol edin.

Büyük Veri Referans Mimarisi Katmanlarının İşlevleri

Büyük Veri Referans Mimarisi Katmanlarının İşlevleri

Büyük Veri Mimarisindeki farklı katmanları ve işlevlerini en basit şekilde öğrenmek için blogu okuyun.

Yapay Zeka Süreç Otomasyonunu Nasıl Bir Sonraki Seviyeye Taşıyabilir?

Yapay Zeka Süreç Otomasyonunu Nasıl Bir Sonraki Seviyeye Taşıyabilir?

Yapay Zekanın küçük ölçekli şirketler arasında nasıl popüler hale geldiğini ve onları büyütme ve rakiplerine üstünlük sağlama olasılıklarını nasıl artırdığını öğrenmek için bunu okuyun.

CAPTCHA: İnsan-AI Ayrımı İçin Ne Kadar Geçerli Bir Teknik Kalabilir?

CAPTCHA: İnsan-AI Ayrımı İçin Ne Kadar Geçerli Bir Teknik Kalabilir?

CAPTCHA, son birkaç yılda kullanıcıların çözmesi oldukça zorlaştı. Gelecekte spam ve bot tespitinde etkili kalabilecek mi?