SSL / TLS ile vsFTPd Nasıl Güvenli Hale Getirilir

Çok Güvenli FTP arka plan programı, ya da sadece vsFTPd , özelleştirme yeteneği olan hafif bir yazılım parçasıdır. Bu öğreticide, kendi imzasını taşıyan SSL / TLS sertifikamızı kullanarak bir Debian sisteminde zaten var olan bir kurulumu güvence altına alacağız. Debian için yazılmasına rağmen, örneğin Ubuntu ve CentOS gibi çoğu Linux dağıtımında çalışmalıdır.


VsFTPd kurulumu

Yeni bir Linux VPS'de önce vsFTPd'yi yüklemeniz gerekir. Bu öğreticide vsFTPd'yi yüklemek için temel adımları bulmanıza rağmen, bu iki ayrıntılı öğreticiyi de okumanızı öneririz: Debian / Ubuntu'da vsFTPd Kur ve CentOS'ta vsFTPd Kurma . Kurulumla ilgili tüm adımlar orada daha dikkatli bir şekilde açıklanmıştır.

Debian / Ubuntu üzerine kurulum:

apt-get install vsftpd

CentOS'ta kurulum:

yum install epel-release
yum install vsftpd

Yapılandırma Kullandığımız bu öğreticide, favori metin düzenleyicinizde /etc/vsftpd.conf yapılandırma dosyasını açın nano.

nano /etc/vsftpd.conf

Aşağıdaki satırları yapılandırmaya yapıştırın:

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

VsFTPd arka plan programınızı yeniden başlatarak işlemi tamamlayın:

/etc/init.d/vsftpd restart

Artık FTP üzerinden herhangi bir yerel kullanıcı olarak oturum açabilmeniz gerekir, şimdi bu yazılımı devam ettirip güvenli hale getirelim.


Kendinden imzalı bir sertifika oluşturun

Kendinden imzalı bir sertifika genellikle bir ortak anahtar anlaşma protokolünde kullanılır, şimdi opensslbir ortak anahtar ve karşılık gelen bir özel anahtar oluşturmak için kullanacaksınız . Her şeyden önce, bu iki anahtar dosyayı saklamak için bir dizin yapmamız gerekiyor, tercihen normal kullanıcıların erişemediği güvenli bir yerde.

mkdir -p /etc/vsftpd/ssl

Şimdi sertifikanın gerçek nesline, her iki anahtarı da aynı dosyada saklayacağız ( /etc/vsftpd/ssl/vsftpd.pem ):

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

Komutu yerine getirdikten sonra ülke kodu, eyalet, şehir, kuruluş adı gibi birkaç soru sorulur. Şimdi en önemli satır, VPS'nizin IP adresiyle eşleşmesi gereken Ortak addır , alternatif olarak ona işaret eden bir alan adıdır.

Bu sertifika 365 gün (~ 1 yıl) için geçerli olacak, 4096 bit anahtar uzunluğuna sahip RSA anahtar anlaşması protokolünü kullanacak ve her iki anahtarı içeren dosya az önce oluşturduğumuz yeni dizinde saklanacaktır. Anahtar uzunluğu ve güvenlikle ilişkisi hakkında daha fazla bilgi için, bkz . Şifreleme II önerileri .


Yeni sertifikayı vsFTPd'ye yükleyin

Yeni sertifikamızı kullanmaya başlamak ve böylece şifreleme sağlamak için yapılandırma dosyasını tekrar açmamız gerekir:

nano /etc/vsftpd.conf

Yeni sertifikamıza ve anahtar dosyalarımıza yolları eklememiz gerekiyor. Aynı dosyada saklandıklarından, yapılandırma içinde de aynı olmalıdır.

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

SSL'nin etkinleştirildiğinden emin olmak için bu satırı eklemeliyiz:

ssl_enable=YES

İsteğe bağlı olarak, ortak bir FTP sunucusunda şifreleme gerekmediğinden, anonim kullanıcıların SSL kullanmasını engelleyebiliriz.

allow_anon_ssl=NO

Daha sonra SSL / TLS'nin ne zaman kullanılacağını belirtmemiz gerekiyor, bu hem veri aktarımı hem de giriş kimlik bilgileri için şifrelemeyi etkinleştirecek

force_local_data_ssl=YES
force_local_logins_ssl=YES

Hangi sürümlerin ve protokollerin kullanılacağını da belirleyebiliriz. TLS genellikle SSL'den daha güvenlidir ve bu nedenle TLS'ye izin verebilir ve aynı zamanda SSL'nin eski sürümlerini engelleyebiliriz.

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

SSL'nin yeniden kullanılmasını gerektirdiğinizde, yüksek şifrelerin kullanılması da güvenliğin artırılmasına yardımcı olacaktır. VsFTPd'nin man sayfalarından:

requir_ssl_reuse Evet olarak ayarlanırsa, tüm SSL veri bağlantılarının SSL oturumunu yeniden kullanmaları gerekir (bu, kontrol kanalı ile aynı ana sırrı bildiklerini kanıtlar). Bu güvenli bir varsayılan olsa da, birçok FTP istemcisini bozabileceği için devre dışı bırakmak isteyebilirsiniz. Sonuçları tartışmak için bkz. Http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html (v2.1.0'da eklenmiştir).

ssl_ciphers Bu seçenek hangi SSL şifrelerinin vsftpd'nin şifrelenmiş SSL bağlantılarına izin vereceğini seçmek için kullanılabilir. Daha fazla bilgi için şifre kılavuzu sayfasına bakınız. Şifrelemeleri kısıtlamanın, kötü niyetli uzak tarafların sorunla karşılaştıkları bir şifreyi zorlamasına engel olduğu için yararlı bir güvenlik önlemi olabileceğini unutmayın.

require_ssl_reuse=YES
ssl_ciphers=HIGH

vsftpdDaemon'u yeniden başlatarak bitirin

/etc/init.d/vsftpd restart

Kurulumu onayla

Ve işte bu, şimdi sunucunuza bağlanabilmeniz ve her şeyin çalıştığını doğrulayabilmeniz gerekir. FileZilla kullanıyorsanız, kuruluş bilgilerinizi (veya sertifikayı daha önce oluştururken girdiğiniz her şeyi) içeren bir iletişim kutusu bağlantı kurulduğunda açılmalıdır. Çıktı daha sonra şuna benzer olmalıdır:

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

VsFTPd hakkında daha fazla bilgi edinmek için manuel sayfalarına göz atın:

man vsftpd


Leave a Comment

26 Büyük Veri Analitik Tekniğine Bir Bakış: 1. Bölüm

26 Büyük Veri Analitik Tekniğine Bir Bakış: 1. Bölüm

26 Büyük Veri Analitik Tekniğine Bir Bakış: 1. Bölüm

Nintendo Switch Hakkında Son Derece Çılgın 6 Şey

Nintendo Switch Hakkında Son Derece Çılgın 6 Şey

Birçoğunuz Switch'in Mart 2017'de çıkacağını ve yeni özelliklerini biliyorsunuz. Bilmeyenler için, 'Switch'i 'olmazsa olmaz bir gadget' yapan özelliklerin bir listesini hazırladık.

Hala Teslim Edilmeyen Teknoloji Sözleri

Hala Teslim Edilmeyen Teknoloji Sözleri

Teknoloji devlerinin sözlerini yerine getirmesini mi bekliyorsunuz? teslim edilmeyenleri kontrol edin.

Büyük Veri Referans Mimarisi Katmanlarının İşlevleri

Büyük Veri Referans Mimarisi Katmanlarının İşlevleri

Büyük Veri Mimarisindeki farklı katmanları ve işlevlerini en basit şekilde öğrenmek için blogu okuyun.

Yapay Zeka Süreç Otomasyonunu Nasıl Bir Sonraki Seviyeye Taşıyabilir?

Yapay Zeka Süreç Otomasyonunu Nasıl Bir Sonraki Seviyeye Taşıyabilir?

Yapay Zekanın küçük ölçekli şirketler arasında nasıl popüler hale geldiğini ve onları büyütme ve rakiplerine üstünlük sağlama olasılıklarını nasıl artırdığını öğrenmek için bunu okuyun.

CAPTCHA: İnsan-AI Ayrımı İçin Ne Kadar Geçerli Bir Teknik Kalabilir?

CAPTCHA: İnsan-AI Ayrımı İçin Ne Kadar Geçerli Bir Teknik Kalabilir?

CAPTCHA, son birkaç yılda kullanıcıların çözmesi oldukça zorlaştı. Gelecekte spam ve bot tespitinde etkili kalabilecek mi?

Teknolojik Tekillik: İnsan Uygarlığının Uzak Bir Geleceği mi?

Teknolojik Tekillik: İnsan Uygarlığının Uzak Bir Geleceği mi?

Bilim hızla gelişip birçok çabamızı üstlendikçe, kendimizi açıklanamaz bir Tekilliğe maruz bırakmanın riskleri de artıyor. Okuyun, tekillik bizim için ne anlama gelebilir.

Teletıp ve Uzaktan Sağlık Hizmeti: Gelecek Burada

Teletıp ve Uzaktan Sağlık Hizmeti: Gelecek Burada

Teletıp, uzaktan sağlık hizmetleri ve gelecek nesiller üzerindeki etkisi nedir? Pandemi durumunda iyi bir yer mi değil mi? Bir görünüm bulmak için blogu okuyun!

Hackerların Nasıl Para Kazandığını Hiç Merak Ettiniz mi?

Hackerların Nasıl Para Kazandığını Hiç Merak Ettiniz mi?

Bilgisayar korsanlarının çok para kazandığını duymuş olabilirsiniz, ancak bu kadar parayı nasıl kazandıklarını hiç merak ettiniz mi? Hadi tartışalım.

macOS Catalina 10.15.4 Ek Güncellemesi Çözmekten Daha Fazla Soruna Neden Oluyor

macOS Catalina 10.15.4 Ek Güncellemesi Çözmekten Daha Fazla Soruna Neden Oluyor

Son zamanlarda Apple, sorunları gidermek için macOS Catalina 10.15.4'ü ek bir güncelleme yayınladı, ancak güncelleme, mac makinelerinde tuğla oluşmasına neden olan daha fazla soruna neden oluyor gibi görünüyor. Daha fazla bilgi edinmek için bu makaleyi okuyun