SSL / TLS ile vsFTPd Nasıl Güvenli Hale Getirilir

• VsFTPd kurulumu
• Kendinden imzalı bir sertifika oluşturun
• Yeni sertifikayı vsFTPd'ye yükleyin
• Kurulumu onayla

Çok Güvenli FTP arka plan programı, ya da sadece vsFTPd , özelleştirme yeteneği olan hafif bir yazılım parçasıdır. Bu öğreticide, kendi imzasını taşıyan SSL / TLS sertifikamızı kullanarak bir Debian sisteminde zaten var olan bir kurulumu güvence altına alacağız. Debian için yazılmasına rağmen, örneğin Ubuntu ve CentOS gibi çoğu Linux dağıtımında çalışmalıdır.

VsFTPd kurulumu

Yeni bir Linux VPS'de önce vsFTPd'yi yüklemeniz gerekir. Bu öğreticide vsFTPd'yi yüklemek için temel adımları bulmanıza rağmen, bu iki ayrıntılı öğreticiyi de okumanızı öneririz: Debian / Ubuntu'da vsFTPd Kur ve CentOS'ta vsFTPd Kurma . Kurulumla ilgili tüm adımlar orada daha dikkatli bir şekilde açıklanmıştır.

Debian / Ubuntu üzerine kurulum:

apt-get install vsftpd

CentOS'ta kurulum:

yum install epel-release
yum install vsftpd

Yapılandırma Kullandığımız bu öğreticide, favori metin düzenleyicinizde /etc/vsftpd.conf yapılandırma dosyasını açın nano.

nano /etc/vsftpd.conf

Aşağıdaki satırları yapılandırmaya yapıştırın:

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

VsFTPd arka plan programınızı yeniden başlatarak işlemi tamamlayın:

/etc/init.d/vsftpd restart

Artık FTP üzerinden herhangi bir yerel kullanıcı olarak oturum açabilmeniz gerekir, şimdi bu yazılımı devam ettirip güvenli hale getirelim.

Kendinden imzalı bir sertifika oluşturun

Kendinden imzalı bir sertifika genellikle bir ortak anahtar anlaşma protokolünde kullanılır, şimdi opensslbir ortak anahtar ve karşılık gelen bir özel anahtar oluşturmak için kullanacaksınız . Her şeyden önce, bu iki anahtar dosyayı saklamak için bir dizin yapmamız gerekiyor, tercihen normal kullanıcıların erişemediği güvenli bir yerde.

mkdir -p /etc/vsftpd/ssl

Şimdi sertifikanın gerçek nesline, her iki anahtarı da aynı dosyada saklayacağız ( /etc/vsftpd/ssl/vsftpd.pem ):

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

Komutu yerine getirdikten sonra ülke kodu, eyalet, şehir, kuruluş adı gibi birkaç soru sorulur. Şimdi en önemli satır, VPS'nizin IP adresiyle eşleşmesi gereken Ortak addır , alternatif olarak ona işaret eden bir alan adıdır.

Bu sertifika 365 gün (~ 1 yıl) için geçerli olacak, 4096 bit anahtar uzunluğuna sahip RSA anahtar anlaşması protokolünü kullanacak ve her iki anahtarı içeren dosya az önce oluşturduğumuz yeni dizinde saklanacaktır. Anahtar uzunluğu ve güvenlikle ilişkisi hakkında daha fazla bilgi için, bkz . Şifreleme II önerileri .

Yeni sertifikayı vsFTPd'ye yükleyin

Yeni sertifikamızı kullanmaya başlamak ve böylece şifreleme sağlamak için yapılandırma dosyasını tekrar açmamız gerekir:

nano /etc/vsftpd.conf

Yeni sertifikamıza ve anahtar dosyalarımıza yolları eklememiz gerekiyor. Aynı dosyada saklandıklarından, yapılandırma içinde de aynı olmalıdır.

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

SSL'nin etkinleştirildiğinden emin olmak için bu satırı eklemeliyiz:

ssl_enable=YES

İsteğe bağlı olarak, ortak bir FTP sunucusunda şifreleme gerekmediğinden, anonim kullanıcıların SSL kullanmasını engelleyebiliriz.

allow_anon_ssl=NO

Daha sonra SSL / TLS'nin ne zaman kullanılacağını belirtmemiz gerekiyor, bu hem veri aktarımı hem de giriş kimlik bilgileri için şifrelemeyi etkinleştirecek

force_local_data_ssl=YES
force_local_logins_ssl=YES

Hangi sürümlerin ve protokollerin kullanılacağını da belirleyebiliriz. TLS genellikle SSL'den daha güvenlidir ve bu nedenle TLS'ye izin verebilir ve aynı zamanda SSL'nin eski sürümlerini engelleyebiliriz.

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

SSL'nin yeniden kullanılmasını gerektirdiğinizde, yüksek şifrelerin kullanılması da güvenliğin artırılmasına yardımcı olacaktır. VsFTPd'nin man sayfalarından:

requir_ssl_reuse Evet olarak ayarlanırsa, tüm SSL veri bağlantılarının SSL oturumunu yeniden kullanmaları gerekir (bu, kontrol kanalı ile aynı ana sırrı bildiklerini kanıtlar). Bu güvenli bir varsayılan olsa da, birçok FTP istemcisini bozabileceği için devre dışı bırakmak isteyebilirsiniz. Sonuçları tartışmak için bkz. Http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html (v2.1.0'da eklenmiştir).

ssl_ciphers Bu seçenek hangi SSL şifrelerinin vsftpd'nin şifrelenmiş SSL bağlantılarına izin vereceğini seçmek için kullanılabilir. Daha fazla bilgi için şifre kılavuzu sayfasına bakınız. Şifrelemeleri kısıtlamanın, kötü niyetli uzak tarafların sorunla karşılaştıkları bir şifreyi zorlamasına engel olduğu için yararlı bir güvenlik önlemi olabileceğini unutmayın.

require_ssl_reuse=YES
ssl_ciphers=HIGH

vsftpdDaemon'u yeniden başlatarak bitirin

/etc/init.d/vsftpd restart

Kurulumu onayla

Ve işte bu, şimdi sunucunuza bağlanabilmeniz ve her şeyin çalıştığını doğrulayabilmeniz gerekir. FileZilla kullanıyorsanız, kuruluş bilgilerinizi (veya sertifikayı daha önce oluştururken girdiğiniz her şeyi) içeren bir iletişim kutusu bağlantı kurulduğunda açılmalıdır. Çıktı daha sonra şuna benzer olmalıdır:

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

VsFTPd hakkında daha fazla bilgi edinmek için manuel sayfalarına göz atın:

man vsftpd