Sikura Konnessjonijiet ProFTPD Bl-użu tal-Protokoll TLS/SSL fuq RHEL/CentOS 7
Min-natura tiegħu l-protokoll FTP kien iddisinjat bħala protokoll mhux sikur u d-data u l-passwords kollha huma trasferiti f’test sempliċi, li jagħmel ix-xogħol ta’ parti terza faċli ħafna li tinterċetta t-tranżazzjonijiet kollha FTP klijent-server, speċjalment l-ismijiet tal-utent u passwords użati fil-proċess ta 'awtentikazzjoni.
- Installazzjoni ta' ProFTPD Server fuq RHEL/CentOS 7
- Ippermetti Kont Anonimu għal Proftpd Server f'RHEL/CentOS 7
Dan it-tutorja jiggwidak dwar kif tista' tiżgura u tikkodifika l-komunikazzjoni FTP fuq ProFTPd Server f'CentOS/RHEL 7 , bl-użu ta' TLS (Sigurtà ta' Saff ta' Trasport) b'estensjoni FTPS Espliċita (aħseb f'FTPS bħala dak li huwa HTTPS għall-Protokoll HTTP).
Pass 1: Oħloq Fajl ta 'Konfigurazzjoni tal-Modulu Proftpd TLS
1. Kif diskuss fit-tutorja preċedenti ta' Proftpd dwar kont Anonymous, din il-gwida se tuża wkoll l-istess approċċ dwar il-ġestjoni ta' fajls ta' konfigurazzjonijiet futuri ta' Proftpd bħala moduli, bl-għajnuna ta' enabled_mod u disabled_mod direttorji, li se jospitaw il-kapaċitajiet estiżi kollha tas-server.
Allura, oħloq fajl ġdid bl-editur tat-test favorit tiegħek jismu tls.conf fil-mogħdija disabled_mod Proftpd u żid id-direttivi li ġejjin.
# nano /etc/proftpd/disabled_mod/tls.conf
Żid is-silta tal-konfigurazzjoni tal-fajl TLS li ġejja.
<IfModule mod_tls.c> TLSEngine on TLSLog /var/log/proftpd/tls.log TLSProtocol SSLv23 TLSRSACertificateFile /etc/ssl/certs/proftpd.crt TLSRSACertificateKeyFile /etc/ssl/private/proftpd.key #TLSCACertificateFile /etc/ssl/certs/CA.pem TLSOptions NoCertRequest EnableDiags NoSessionReuseRequired TLSVerifyClient off TLSRequired on TLSRenegotiate required on </IfModule>
2. Jekk tuża browsers jew Klijenti FTP li ma jappoġġjawx konnessjonijiet TLS, ikkummenta l-linja TLSRequired fuq sabiex tippermetti konnessjonijiet TLS u mhux TLS fl-istess ħin u tevita l-messaġġ ta’ żball bħal fil- screenshot hawn taħt.
Pass 2: Oħloq Fajls taċ-Ċertifikati SSL għal TLS
3. Wara li tkun ħloqt il-fajl tal-konfigurazzjoni tal-modulu TLS. li se jippermetti FTP fuq TLS fuq Proftpd, għandek bżonn tiġġenera Ċertifikat SSL u Ċavetta sabiex tuża komunikazzjoni sigura fuq ProFTPD Server bl-għajnuna ta 'pakkett OpenSSL.
# yum install openssl
Tista 'tuża kmand twil wieħed biex tiġġenera Pari Ċertifikati u Ċavetta SSL, iżda biex tissimplifika l-affarijiet tista' toħloq skript bash sempliċi li jiġġenera pari SSL bl-isem mixtieq tiegħek u tassenja l-permessi korretti għall-fajl Ewlenin.
Oħloq fajl bash bl-isem proftpd_gen_ssl fuq /usr/local/bin/ jew fuq kwalunkwe mogħdija tas-sistema eżekutibbli oħra (definita mill-varjabbli PATH).
# nano /usr/local/bin/proftpd_gen_ssl
Żid il-kontenut li ġej miegħu.
#!/bin/bash echo -e "\nPlease enter a name for your SSL Certificate and Key pairs:" read name openssl req -x509 -newkey rsa:1024 \ -keyout /etc/ssl/private/$name.key -out /etc/ssl/certs/$name.crt \ -nodes -days 365\ chmod 0600 /etc/ssl/private/$name.key
4. Wara li tkun ħloqt il-fajl ta 'hawn fuq, assenjah b'permessi ta' eżekuzzjoni, aċċerta li jeżisti direttorju /etc/ssl/private u mexxi l-iskrittura biex toħloq Ċertifikat SSL u pari Ċavetta.
# chmod +x /usr/local/bin/proftpd_gen_ssl # mkdir -p /etc/ssl/private # proftpd_gen_ssl
Ipprovdi ċ-Ċertifikat SSL bl-informazzjoni mitluba mitluba li hija ta' spjegazzjoni waħedha, iżda oqgħod attent għal Isem Komuni biex taqbel l-Isem tad-Dominju Sħiħ Kwalifikat tal-ospitant tiegħek – FQDN b>.
Pass 3: Ippermetti TLS fuq ProFTPD Server
5. Peress li l-fajl tal-Konfigurazzjoni TLS maħluq qabel diġà jindika ċ-Ċertifikat SSL u l-fajl taċ-Ċavetta t-tajba l-unika ħaġa li fadal hija li tattiva l-modulu TLS billi toħloq link simboliku ta 'tls.conf fajl fid-direttorju ta' enabled-mod u erġa' ibda daemon ProFTPD biex tapplika l-bidliet.
# ln -s /etc/proftpd/disabled_mod/tls.conf /etc/proftpd/enabled_mod/ # systemctl restart proftpd
6. Biex tiddiżattiva l-modulu TLS sempliċement neħħi tls.conf symlink mid-direttorju enabled_mod u terġa 'tibda server ProFTPD biex tapplika l-bidliet.
# rm /etc/proftpd/enabled_mod/tls.conf # systemctl restart proftpd
Pass 4: Iftaħ il-Firewall biex tippermetti Komunikazzjoni FTP fuq TLS
7. Sabiex il-klijenti jaċċessaw ProFTPD u jassiguraw fajls ta' trasferiment f'Modalità Passiva trid tiftaħ il-firxa sħiħa tal-port bejn 1024 u 65534 fuq RHEL /CentOS Firewall, billi tuża l-kmandi li ġejjin.
# firewall-cmd --add-port=1024-65534/tcp # firewall-cmd --add-port=1024-65534/tcp --permanent # firewall-cmd --list-ports # firewall-cmd --list-services # firewall-cmd --reload
Dak hu. Issa s-sistema tiegħek hija lesta li taċċetta komunikazzjoni FTP fuq TLS minn naħa tal-Klijent.
Pass 5: Aċċessa ProFTPD fuq TLS mill-Klijenti
8. Web browsers normalment ma jkollhom l-ebda appoġġ integrat għall-FTP fuq protokoll TLS, sabiex it-tranżazzjonijiet kollha huma kkunsinnati fuq FTP mhux encrypted. Wieħed mill-aktar Klijenti FTP eċċellenti huwa FileZilla, li huwa kompletament Open Source u jista' jaħdem fuq kważi s-Sistemi Operattivi ewlenin kollha.
Biex taċċessa l-FTP fuq TLS minn FileZilla iftaħ Site Manager, agħżel FTP fuq Protokoll u Teħtieġ FTP espliċitu fuq TLS fuq Encryption drop-down menu, agħżellek Logon Type bħala Normali, daħħal il-kredenzjali tal-FTP tiegħek u agħfas Ikkonnettja biex tikkomunika mas-server.
9. Jekk hija l-ewwel darba li tikkonnettja ma' ProFTPD Server għandha tidher pop-up biċ-Ċertifikat il-ġdid, iċċekkja l-kaxxa li tgħid Dejjem tafda ċ-ċertifikat għal sessjonijiet futuri u agħfas fuq OK biex taċċetta Ċertifikat u awtentika għal server ProFTPD.
Jekk qed tippjana li tuża klijenti oħra għajr FileZilla biex taċċessa b'mod sikur ir-riżorsi tal-FTP kun żgur li jappoġġaw FTP fuq protokoll TLS. Xi eżempji tajbin għal klijenti FTP li jistgħu jitkellmu FTPS huma gFTP jew LFTP (linja tal-kmand) għal NIX.