Asenna suojattu FTP-tiedostosiirto SSL/TLS: n avulla RHEL 8: ssa

Viimeisessä artikkelissamme olemme kuvanneet yksityiskohtaisesti FTP-palvelimen asentamisen ja määrittämisen RHEL 8 Linuxissa. Tässä artikkelissa selitämme, kuinka FTP-palvelin voidaan suojata SSL/TLS-toiminnolla, jotta tietojen salauspalvelut voidaan ottaa käyttöön tiedostojen turvallisessa siirtämisessä järjestelmien välillä.

Toivomme, että FTP-palvelin on jo asennettu ja toimii oikein. Jos ei, asenna se järjestelmään seuraavan oppaan avulla.

  1. FTP-palvelimen asentaminen, määrittäminen ja suojaaminen RHEL 8: ssa

Vaihe 1. SSL/TLS-varmenteen ja yksityisen avaimen luominen

1. Luo seuraava hakemisto SSL/TLS-varmenteen ja avaintiedostojen tallentamiseksi.

# mkdir -p /etc/ssl/vsftpd

2. Luo seuraavaksi itse allekirjoitettu SSL/TLS-varmenne ja yksityinen avain seuraavan komennon avulla.

# openssl req -x509 -nodes -keyout /etc/ssl/vsftpd/vsftpd.pem -out /etc/ssl/vsftpd/vsftpd.pem -days 365 -newkey rsa:2048

Seuraava on selitys kustakin yllä olevassa komennossa käytetystä lipusta.

  1. req - on komento X.509 Certificate Signing Request (CSR) -hallinnalle.
  2. x509 - tarkoittaa X.509-varmenteen tiedonhallintaa.
  3. päivää - määrittää, kuinka monta päivää varmenne on voimassa.
  4. newkey - määrittää varmenteen avaimen prosessorin.
  5. rsa: 2048 - RSA-avainprosessori, luo 2048-bittisen yksityisen avaimen.
  6. avain - määrittää avaimen tallennustiedoston.
  7. ulos - määrittää varmenteen tallennustiedoston, huomaa, että sekä varmenne että avain on tallennettu samaan tiedostoon: /etc/ssl/vsftpd/vsftpd.pem.

Yllä oleva komento kehottaa sinua vastaamaan alla oleviin kysymyksiin, muista käyttää skenaarioosi soveltuvia arvoja.

Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:Lower Parel
Locality Name (eg, city) [Default City]:Mumbai
Organization Name (eg, company) [Default Company Ltd]:TecMint.com
Organizational Unit Name (eg, section) []:Linux and Open Source
Common Name (eg, your name or your server's hostname) []:tecmint
Email Address []:[email 

Vaihe 2. VSFTPD: n määrittäminen käyttämään SSL/TLS: ää

3. Avaa VSFTPD-määritystiedosto muokkausta varten suosikkikomentorivieditorilla.

# vi /etc/vsftpd/vsftpd.conf

Lisää seuraavat kokoonpanoparametrit ottaa SSL käyttöön ja valitse sitten käytettävä SSL- ja TLS-versio tiedoston lopusta.

ssl_enable=YES
ssl_tlsv1_2=YES
ssl_sslv2=NO
ssl_sslv3=NO

4. Lisää seuraavaksi vaihtoehdot rsa_cert_file ja rsa_private_key_file määrittääksesi SSL-varmenteen ja avaintiedoston sijainnin.

rsa_cert_file=/etc/ssl/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/ssl/vsftpd/vsftpd.pem

5. Lisää nyt nämä parametrit anonyymien yhteyksien estämiseksi SSL: n käytöstä ja pakota kaikki ei-anonyymit yhteydet SSL: n yli.

allow_anon_ssl=NO			# disable anonymous users from using SSL
force_local_data_ssl=YES		# force all non-anonymous logins to use a secure SSL connection for data transfer
force_local_logins_ssl=YES		# force all non-anonymous logins  to send the password over SSL

6. Lisää seuraavaksi tämä vaihtoehto poistaaksesi kaikki SSL-datayhteyksien uudelleenkäytön käytöstä ja aseta SSL-salaus HIGH sallimaan salatut SSL-yhteydet.

require_ssl_reuse=NO
ssl_ciphers=HIGH

7. Sinun on myös määritettävä passiivisten porttien porttialue (min ja max portti), joita vsftpd käyttää suojatuissa yhteyksissä, käyttämällä vastaavasti pasv_min_port- ja pasv_max_port-parametreja. Lisäksi voit ottaa SSL-virheenkorjauksen käyttöön vianmääritystarkoituksessa käyttämällä vaihtoehtoa debug_ssl.

pasv_min_port=40000
pasv_max_port=50000
debug_ssl=YES

8. Tallenna lopuksi tiedosto ja käynnistä vsftpd-palvelu uudelleen, jotta yllä olevat muutokset tulevat voimaan.

# systemctl restart vsftpd

9. Vielä yksi kriittinen tehtävä ennen FTP-palvelimen turvallista käyttöä on avata portit 990 ja 40000-50000 järjestelmän palomuurissa. Tämä sallii TLS-yhteydet vsftpd-palveluun ja avaa VSFTPD-määritystiedostossa määritetyn passiivisten porttien porttialueen seuraavasti.

# firewall-cmd --zone=public --permanent –add-port=990/tcp
# firewall-cmd --zone=public --permanent –add-port=40000-50000/tcp
# firewall-cmd --reload

Vaihe 3: Asenna FileZilla muodostaaksesi turvallisen yhteyden FTP-palvelimeen

10. Jotta voit muodostaa turvallisen yhteyden FTP-palvelimeen, tarvitset FTP-asiakkaan, joka tukee SSL/TLS-yhteyksiä, kuten FileZilla - on avoimen lähdekoodin, laajasti käytetty, alustojen välinen FTP-, SFTP- ja FTPS-asiakas, joka tukee SSL/TLS-yhteyksiä oletuksena.

Asenna FileZilla Linuxiin oletuspakettien hallinnan avulla seuraavasti:

$ sudo apt-get install filezilla   		#Debian/Ubuntu
# yum install epel-release filezilla		#On CentOS/RHEL
# dnf install filezilla			        #Fedora 22+
$ sudo zypper install filezilla			#openSUSE

11. Kun Filezilla-paketti on asennettu, etsi se järjestelmävalikosta ja avaa se. Voit yhdistää FTP-etäpalvelimen nopeasti pääkäyttöliittymästä antamalla isännän IP-osoitteen, käyttäjänimen ja käyttäjän salasanan. Napsauta sitten QuickConnect.

12. Sitten sovellus pyytää sinua sallimaan suojatun yhteyden tuntemattoman, itse allekirjoittaman varmenteen avulla. Napsauta OK jatkaaksesi.

Jos palvelimen määritykset ovat kunnossa, yhteyden pitäisi olla onnistunut seuraavan kuvakaappauksen mukaisesti.

13. Testaa lopuksi FTP-suojatun yhteyden tila yrittämällä ladata tiedostoja koneeltasi palvelimelle seuraavan kuvakaappauksen mukaisesti.

Siinä kaikki! Tässä artikkelissa osoitimme, kuinka FTP-palvelin voidaan suojata SSL/TLS: llä turvalliseen tiedostosiirtoon RHEL 8: ssa. Tämä on toinen osa kattavaa opastamme FTP-palvelimen asentamiseksi, määrittämiseksi ja suojaamiseksi RHEL 8: ssa. tai ajatuksia, käytä alla olevaa palautelomaketta.