Kif Tiżgura Server FTP billi tuża SSL/TLS għal Trasferiment ta' Fajl Sikur f'CentOS 7
Bid-disinn oriġinali tiegħu, FTP (File Transfer Protocol) mhuwiex sigur, li jfisser li ma jikkriptax id-data li tiġi trażmessa bejn żewġ magni, flimkien mal-kredenzjali tal-utent. Dan joħloq theddida kbira għad-data kif ukoll għas-sigurtà tas-server.
F'dan it-tutorja, se nispjegaw kif nippermettu manwalment is-servizzi ta 'kodifikazzjoni tad-dejta f'server FTP f'CentOS/RHEL 7 u Fedora; se ngħaddu minn diversi passi biex niżguraw servizzi VSFTPD (Very Secure FTP Daemon) bl-użu ta’ ċertifikati SSL/TLS.
- Irid ikollok installat u kkonfigurat server FTP f'CentOS 7
Qabel ma nibdew, innota li l-kmandi kollha f'dan it-tutorja se jitmexxew bħala għerq, inkella, uża l-kmand sudo biex tikseb privileġġi tal-għeruq jekk m'intix qed tikkontrolla s-server billi tuża l-kont tal-għeruq.
Pass 1. Tiġġenera Ċertifikat SSL/TLS u Ċavetta Privata
1. Għandna bżonn nibdew billi noħolqu sottodirettorju taħt: /etc/ssl/
fejn se naħżnu ċ-ċertifikat SSL/TLS u l-fajls ewlenin:
# mkdir /etc/ssl/private
2. Imbagħad mexxi l-kmand hawn taħt biex toħloq iċ-ċertifikat u ċ-ċavetta għal vsftpd f'fajl wieħed, hawnhekk hija l-ispjegazzjoni ta 'kull bandiera użata.
- req – huwa kmand għall-ġestjoni tat-Talba ta' Firma ta' Ċertifikat (CSR) X.509.
- x509 – tfisser ġestjoni tad-dejta taċ-ċertifikat X.509.
- jiem – jiddefinixxi n-numru ta' ġranet li ċ-ċertifikat huwa validu għalihom.
- newkey – jispeċifika proċessur taċ-ċavetta taċ-ċertifikat.
- rsa:2048 – Proċessur taċ-ċavetta RSA, se jiġġenera ċavetta privata ta' 2048 bit.
- keyout – jistabbilixxi l-fajl tal-ħażna taċ-ċavetta.
- out – jistabbilixxi l-fajl tal-ħażna taċ-ċertifikat, innota li kemm iċ-ċertifikat kif ukoll iċ-ċavetta huma maħżuna fl-istess fajl: /etc/ssl/private/vsftpd.pem.
# openssl req -x509 -nodes -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem -days 365 -newkey rsa:2048
Il-kmand ta 'hawn fuq se jgħidlek biex twieġeb il-mistoqsijiet hawn taħt, ftakar li tuża valuri li japplikaw għax-xenarju tiegħek.
Country Name (2 letter code) [XX]:IN State or Province Name (full name) []:Lower Parel Locality Name (eg, city) [Default City]:Mumbai Organization Name (eg, company) [Default Company Ltd]:TecMint.com Organizational Unit Name (eg, section) []:Linux and Open Source Common Name (eg, your name or your server's hostname) []:tecmint Email Address []:[email
Pass 2. Konfigurazzjoni ta 'VSFTPD Biex Uża SSL/TLS
3. Qabel ma nwettqu xi konfigurazzjonijiet VSFTPD, ejja niftħu l-portijiet 990 u 40000-50000 biex jippermettu konnessjonijiet TLS u l-firxa tal-portijiet ta 'portijiet passivi biex jiddefinixxu fil-fajl ta' konfigurazzjoni VSFTPD rispettivament:
# firewall-cmd --zone=public --permanent --add-port=990/tcp # firewall-cmd --zone=public --permanent --add-port=40000-50000/tcp # firewall-cmd --reload
4. Issa, iftaħ il-fajl tal-konfigurazzjoni VSFTPD u speċifika d-dettalji SSL fih:
# vi /etc/vsftpd/vsftpd.conf
Fittex l-għażla ssl_enable u ssettja l-valur tagħha għal IVA
biex tattiva l-użu ta 'SSL, barra minn hekk, peress li TSL huwa aktar sigur minn SSL, aħna se nirrestrinġu VSFTPD biex timpjega TLS minflok, billi tuża l-għażla ssl_tlsv1_2:
ssl_enable=YES ssl_tlsv1_2=YES ssl_sslv2=NO ssl_sslv3=NO
5. Imbagħad, żid il-linji hawn taħt biex tiddefinixxi l-post taċ-ċertifikat SSL u l-fajl taċ-ċavetta:
rsa_cert_file=/etc/ssl/private/vsftpd.pem rsa_private_key_file=/etc/ssl/private/vsftpd.pem
6. Sussegwentement, irridu nipprevjenu lill-utenti anonimi milli jużaw SSL, imbagħad inġegħlu l-logins mhux anonimi kollha biex jużaw konnessjoni SSL sigura għat-trasferiment tad-dejta u biex jibagħtu l-password waqt il-login:
allow_anon_ssl=NO force_local_data_ssl=YES force_local_logins_ssl=YES
7. Barra minn hekk, nistgħu nżidu l-għażliet hawn taħt biex insaħħu s-sigurtà tas-server FTP. Meta l-għażla require_ssl_reuse hija ssettjata għal IVA
, allura, il-konnessjonijiet tad-dejta SSL kollha huma meħtieġa biex juru l-użu mill-ġdid tas-sessjoni SSL; jipprova li jafu l-istess sigriet prinċipali bħall-kanal ta 'kontroll.
Għalhekk, irridu nitfih.
require_ssl_reuse=NO
Għal darb'oħra, irridu nagħżlu liema ċifraturi SSL VSFTPD se jippermettu għal konnessjonijiet SSL encrypted bl-għażla ssl_ciphers. Dan jista' jillimita ħafna l-isforzi ta' attakkanti li jippruvaw jisfurzaw ċifra partikolari li probabbilment skoprew vulnerabbiltajiet fi:
ssl_ciphers=HIGH
8. Issa, issettja l-firxa tal-port (port min u massimu) ta 'portijiet passivi.
pasv_min_port=40000 pasv_max_port=50000
9. B'għażla, ippermetti d-debugging SSL, jiġifieri d-dijanjostiċi tal-konnessjoni openSSL huma rreġistrati fil-fajl log VSFTPD bl-għażla debug_ssl:
debug_ssl=YES
Issejvja l-bidliet kollha u agħlaq il-fajl. Imbagħad ejja nibdew mill-ġdid is-servizz VSFTPD:
# systemctl restart vsftpd
Pass 3: Ittestjar tas-server FTP B'Konnessjonijiet SSL/TLS
10. Wara li tagħmel il-konfigurazzjonijiet kollha ta 'hawn fuq, ittestja jekk VSFTPD hux qed juża konnessjonijiet SSL/TLS billi tipprova tuża FTP mil-linja tal-kmand kif ġej:
# ftp 192.168.56.10 Connected to 192.168.56.10 (192.168.56.10). 220 Welcome to TecMint.com FTP service. Name (192.168.56.10:root) : ravi 530 Non-anonymous sessions must use encryption. Login failed. 421 Service not available, remote server has closed connection ftp>
Mill-iskrin ta 'hawn fuq, nistgħu naraw li hemm żball li jinfurmana li VSFTPD jista' jippermetti biss lill-utent biex jidħol minn klijenti li jappoġġjaw is-servizzi ta 'encryption.
Il-linja tal-kmand ma toffrix servizzi ta' kriptaġġ u b'hekk tipproduċi l-iżball. Allura, biex tikkonnettja b'mod sigur mas-server, għandna bżonn klijent FTP li jappoġġja konnessjonijiet SSL/TLS bħal FileZilla.
Pass 4: Installa FileZilla biex Ikkonnettja b'mod Sikur ma' Server FTP
11. FileZilla huwa klijent FTP modern, popolari u importantiment multi-pjattaforma li jappoġġja konnessjonijiet SSL/TLS awtomatikament.
Biex tinstalla FileZilla fil-Linux, mexxi l-kmand hawn taħt:
--------- On CentOS/RHEL/Fedora --------- # yum install epel-release filezilla --------- On Debian/Ubuntu --------- $ sudo apt-get install filezilla
12. Meta l-installazzjoni titlesta (jew inkella jekk diġà għandek installata), iftaħha u mur File=>Maniġer tas-Siti jew (agħfas Ctrl+S
) biex tikseb l-interface tal-Maniġer tas-Sit hawn taħt.
Ikklikkja fuq il-buttuna Sit Ġdid biex iżżid dettalji ġodda ta' konnessjoni ta' sit/host.
13. Sussegwentement, issettja l-isem tal-host/sit, żid l-indirizz IP, iddefinixxi l-protokoll li għandek tuża, il-kriptaġġ u t-tip tal-logon bħal fil-screen shot hawn taħt (uża valuri li japplikaw għax-xenarju tiegħek):
Host: 192.168.56.10 Protocol: FTP – File Transfer Protocol Encryption: Require explicit FTP over #recommended Logon Type: Ask for password #recommended User: username
14. Imbagħad ikklikkja fuq Ikkonnettja biex terġa' ddaħħal il-password, u mbagħad ivverifika ċ-ċertifikat li qed jintuża għall-konnessjoni SSL/TLS u kklikkja OK
għal darb'oħra biex tikkonnettja mas-server FTP:
F'dan l-istadju, imissna illoggjaw b'suċċess fis-server FTP fuq konnessjoni TLS, iċċekkja t-taqsima tal-istatus tal-konnessjoni għal aktar informazzjoni mill-interface hawn taħt.
15. Fl-aħħar iżda mhux l-inqas, ipprova tittrasferixxi fajls mill-magna lokali għas-server FTP fil-folder tal-fajls, agħti ħarsa lejn it-tarf t'isfel tal-interface FileZilla biex tara rapporti dwar it-trasferimenti tal-fajls.
Dak kollox! Dejjem żomm f'moħħok li l-FTP mhuwiex sigur b'mod awtomatiku, sakemm ma nikkonfigurawhx biex juża konnessjonijiet SSL/TLS kif urejnek f'dan it-tutorja. Aqsam il-ħsibijiet tiegħek dwar dan it-tutorja/suġġett permezz tal-formola ta' feedback hawn taħt.