FTP szerver védelme SSL/TLS használatával a biztonságos fájlátvitelhez CentOS 7 -ben

instagram story viewer

Eredeti kialakításával, FTP (Fájlátviteli protokoll) nem biztonságos, vagyis nem titkosítja a két gép között továbbított adatokat a felhasználó hitelesítő adataival együtt. Ez hatalmas veszélyt jelent az adatokra és a szerver biztonságára.

Ebben az oktatóanyagban elmagyarázzuk, hogyan lehet manuálisan engedélyezni az adattitkosítási szolgáltatásokat egy FTP -kiszolgálón a CentOS/RHEL 7 és a Fedora rendszerben; a biztosítás különböző lépésein megyünk keresztül VSFTPD (Nagyon biztonságos FTP démon) igénybe vevő szolgáltatásokat SSL/TLS tanúsítványokat.

Előfeltételek:

  1. Biztosan van telepített és konfigurált egy FTP szervert a CentOS 7 rendszerben

Mielőtt elkezdenénk, vegye figyelembe, hogy az oktatóanyag összes parancsa a következőképpen fog futni gyökér, különben használja a sudo parancs root jogosultságokat szerezhet, ha nem a root fiókkal vezérli a kiszolgálót.

1. lépés. SSL/TLS tanúsítvány és privát kulcs létrehozása

1. Először is létre kell hoznunk egy alkönyvtárat: /etc/ssl/ hol tároljuk a SSL/TLS tanúsítvány és kulcsfájlok:

# mkdir/etc/ssl/private. 

2. Ezután futtassa az alábbi parancsot a tanúsítvány és a kulcs létrehozásához vsftpd egyetlen fájlban itt található az egyes használt zászlók magyarázata.

  1. req - egy parancs az X.509 tanúsítvány -aláírási kérelem (CSR) kezeléséhez.
  2. x509 - X.509 tanúsítvány adatkezelést jelent.
  3. napok - meghatározza, hogy hány napig érvényes a tanúsítvány.
  4. új kulcs - meghatározza a tanúsítványkulcs -processzort.
  5. rsa: 2048 - RSA kulcsprocesszor, 2048 bites privát kulcsot generál.
  6. kulcstartó - beállítja a kulcstároló fájlt.
  7. ki - beállítja a tanúsítványtároló fájlt, vegye figyelembe, hogy a tanúsítvány és a kulcs is ugyanabban a fájlban van tárolva: /etc/ssl/private/vsftpd.pem.
# openssl req -x509 -nodes -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem -days 365 -newkey rsa: 2048. 

A fenti parancs arra kéri Önt, hogy válaszoljon az alábbi kérdésekre, ne felejtse el a forgatókönyvre vonatkozó értékeket használni.

Ország neve (kétbetűs kód) [XX]:BAN BEN
Állam vagy tartomány neve (teljes név) []:Alsó Parel
Helység neve (pl. Város) [Alapértelmezett város]:Mumbai
Szervezet neve (pl. Cég) [Alapértelmezett vállalat Ltd]:TecMint.com
Szervezeti egység neve (pl. Szakasz) []:Linux és nyílt forráskódú
Általános név (pl. Az Ön neve vagy a szerver hosztneve) []:tecmint
Email cím []:[e -mail védett]

2. lépés. A VSFTPD konfigurálása SSL/TLS használatára

3. Mielőtt bármilyen VSFTPD konfigurációt végrehajtanánk, nyissuk meg a portokat 990 és 40000-50000 hogy a TLS kapcsolatok és a passzív portok porttartománya definiálható legyen a VSFTPD konfigurációs fájlban:

# tűzfal-cmd --zone = public --permanent --add-port = 990/tcp. # tűzfal-cmd --zone = public --permanent --add-port = 40000-50000/tcp. # tűzfal-cmd-újratöltés. 

4. Most nyissa meg a VSFTPD konfigurációs fájlt, és adja meg az SSL adatait:

# vi /etc/vsftpd/vsftpd.conf. 

Keresse meg a lehetőséget ssl_enable és állítsa az értékét erre IGEN Az SSL használatának aktiválásához ezen túlmenően, mivel a TSL biztonságosabb, mint az SSL, korlátozjuk a VSFTPD használatát TLS helyett, a ssl_tlsv1_2 választási lehetőség:

ssl_enable = IGEN. ssl_tlsv1_2 = IGEN. ssl_sslv2 = NEM. ssl_sslv3 = NEM. 

5. Ezután adja hozzá az alábbi sorokat az SSL -tanúsítvány és a kulcsfájl helyének meghatározásához:

rsa_cert_file =/etc/ssl/private/vsftpd.pem. rsa_private_key_file =/etc/ssl/private/vsftpd.pem. 

6. Ezt követően meg kell akadályoznunk, hogy a névtelen felhasználók SSL-t használjanak, majd kénytelenek vagyunk minden névtelen bejelentkezést biztonságos SSL-kapcsolat használatára az adatátvitelhez, valamint a jelszó elküldését bejelentkezéskor:

allow_anon_ssl = NEM. force_local_data_ssl = IGEN. force_local_logins_ssl = IGEN. 

7. Ezenkívül az alábbi lehetőségeket is hozzáadhatjuk az FTP -kiszolgáló biztonságának növeléséhez. Amikor opció need_ssl_reuse beállítása IGEN, akkor minden SSL adatkapcsolat szükséges az SSL munkamenet újrafelhasználásához; bebizonyítva, hogy ugyanazt a titkot tudják, mint a vezérlőcsatorna.

Ezért ki kell kapcsolnunk.

need_ssl_reuse = NEM. 

Ismét ki kell választanunk, hogy mely SSL -titkosításokat engedélyezi a VSFTPD a titkosított SSL -kapcsolatokhoz a ssl_ciphers választási lehetőség. Ez nagymértékben korlátozhatja azon támadók erőfeszítéseit, akik megpróbálnak kényszeríteni egy bizonyos rejtjelezést, amelyben valószínűleg sebezhetőséget fedeztek fel:

ssl_ciphers = HIGH. 

8. Most állítsa be a passzív portok porttartományát (min és max port).

pasv_min_port = 40000. pasv_max_port = 50000. 

9. Opcionálisan engedélyezze az SSL hibakeresést, vagyis az openSSL kapcsolat diagnosztikáját a VSFTPD naplófájlba rögzíti a debug_ssl választási lehetőség:

debug_ssl = IGEN. 

Mentse el az összes módosítást, és zárja be a fájlt. Indítsuk újra a VSFTPD szolgáltatást:

# systemctl újraindítás vsftpd. 

3. lépés: FTP -kiszolgáló tesztelése SSL/TLS kapcsolatokkal

10. A fenti konfigurációk elvégzése után ellenőrizze, hogy a VSFTPD használ -e SSL/TLS kapcsolatokat, és próbálja meg az FTP parancssorból történő használatát az alábbiak szerint:

# ftp 192.168.56.10. 192.168.56.10 (192.168.56.10). Üdvözöljük a TecMint.com FTP szolgáltatásban. Név (192.168.56.10:root): ravi. 530 A nem névtelen munkameneteknek titkosítást kell használniuk. Bejelentkezés sikertelen. 421 A szolgáltatás nem érhető el, a távoli szerver lezárta a kapcsolatot. ftp>
Ellenőrizze az FTP SSL biztonságos kapcsolatot
Ellenőrizze az FTP SSL biztonságos kapcsolatot

A fenti képernyőképen láthatjuk, hogy hiba történt annak tudatásával, hogy a VSFTPD csak a titkosítási szolgáltatásokat támogató ügyfelektől engedélyezheti a bejelentkezést.

A parancssor nem kínál titkosítási szolgáltatásokat, és így hibát okoz. Tehát ahhoz, hogy biztonságosan csatlakozhassunk a szerverhez, szükségünk van egy FTP -ügyfélre, amely támogatja az SSL/TLS kapcsolatokat, mint pl FileZilla.

4. lépés: Telepítse a FileZillát, hogy biztonságosan csatlakozzon egy FTP -kiszolgálóhoz

11.FileZilla egy modern, népszerű és fontos platformok közötti FTP kliens, amely alapértelmezés szerint támogatja az SSL/TLS kapcsolatokat.

A FileZilla Linuxra történő telepítéséhez futtassa az alábbi parancsot:

 A CentOS/RHEL/Fedora rendszeren  # yum telepítse az epel-release filezilla-t  Debian/Ubuntu rendszeren 
$ sudo apt-get install filezilla 

12. Amikor a telepítés befejeződött (vagy ha már telepítette), nyissa meg, és lépjen a következőre: Fájl => Webhelykezelő vagy (nyomja meg Ctrl+S), hogy megszerezze a Site Manager felület alatt.

Kattintson Új webhely gombra új webhely/gazdagép kapcsolat részleteinek hozzáadásához.

Új FTP webhely hozzáadása a Filezillához
Új FTP webhely hozzáadása a Filezillához

13. Ezután állítsa be a gazdagép/webhely nevét, adja hozzá az IP -címet, határozza meg a használandó protokollt, a titkosítást és a bejelentkezési típust, mint az alábbi képernyőképen (használja a forgatókönyvre vonatkozó értékeket):

Házigazda: 192.168.56.10
Jegyzőkönyv: FTP - Fájlátviteli protokoll
Titkosítás: Explicit FTP -t igényel #recommended bejelentkezési típus: Kérjen jelszót #recommended User: felhasználónév
Adja hozzá az FTP -kiszolgáló adatait a Filezillában
Adja hozzá az FTP -kiszolgáló adatait a Filezillában

14. Ezután kattintson a gombra Csatlakozás a jelszó újbóli megadásához, majd ellenőrizze az SSL/TLS kapcsolathoz használt tanúsítványt, majd kattintson a gombra rendben még egyszer csatlakozni az FTP szerverhez:

Ellenőrizze az FTP SSL tanúsítványt
Ellenőrizze az FTP SSL tanúsítványt

Ebben a szakaszban sikeresen be kellett volna jelentkeznünk az FTP szerverre egy TLS kapcsolaton keresztül, nézze meg a kapcsolat állapotát, ha további információra van szüksége az alábbi felületről.

TLS/SSL kapcsolaton keresztül csatlakozik az FTP szerverhez
TLS/SSL kapcsolaton keresztül csatlakozik az FTP szerverhez

15. Végül, de nem utolsó sorban próbáld meg fájlok átvitele a helyi gépről az FTP szerverre a fájlok mappában nézze meg a FileZilla kezelőfelület a fájlátvitelre vonatkozó jelentések megtekintéséhez.

Fájlok biztonságos átvitele FTP használatával
Fájlok biztonságos átvitele FTP használatával

Ez minden! Mindig ne feledje, hogy az FTP alapértelmezés szerint nem biztonságos, hacsak nem úgy konfiguráljuk, hogy SSL/TLS kapcsolatokat használjon, amint azt az oktatóanyagban bemutattuk. Ossza meg gondolatait erről az oktatóanyagról/témáról az alábbi visszajelzési űrlapon keresztül.

Teachs.ru