Asenna suojattu FTP-tiedostonsiirto SSL/TLS:n avulla RHEL 8:ssa

Edellisessä artikkelissamme on kuvattu yksityiskohtaisesti, kuinka FTP-palvelin asennetaan ja määritetään RHEL 8 Linuxissa. Tässä artikkelissa selitämme, kuinka FTP-palvelin suojataan käyttämällä SSL/TLS-protokollaa tietojen salauspalveluiden mahdollistamiseksi suojattua tiedostojen siirtoa järjestelmien välillä.

Toivomme, että sinulla on jo FTP-palvelin asennettuna ja se toimii oikein. Jos ei, asenna se järjestelmääsi seuraavan oppaan avulla.

  1. Kuinka asentaa, määrittää ja suojata FTP-palvelin RHEL 8:ssa

Vaihe 1. Luo SSL/TLS-varmenne ja yksityinen avain

1. Luo seuraava hakemisto SSL/TLS-varmenteen ja avaintiedostojen tallentamiseksi.

mkdir -p /etc/ssl/vsftpd

2. Luo seuraavaksi itse allekirjoitettu SSL/TLS-varmenne ja yksityinen avain käyttämällä seuraavaa komentoa.

openssl req -x509 -nodes -keyout /etc/ssl/vsftpd/vsftpd.pem -out /etc/ssl/vsftpd/vsftpd.pem -days 365 -newkey rsa:2048

Seuraavassa on selitys jokaisesta yllä olevassa komennossa käytetystä lipusta.

  1. req – on komento X.509 Certificate Signing Request (CSR) -hallintaan.
  2. x509 – tarkoittaa X.509-varmennetietojen hallintaa.
  3. päivää – määrittää, kuinka monta päivää varmenne on voimassa.
  4. uusi avain – määrittää varmenneavaimen prosessorin.
  5. rsa:2048 – RSA-avainprosessori, luo 2048-bittisen yksityisen avaimen.
  6. keyout – määrittää avaimen tallennustiedoston.
  7. out – määrittää varmenteen tallennustiedoston. Huomaa, että sekä varmenne että avain on tallennettu samaan tiedostoon: /etc/ssl/vsftpd/vsftpd.pem.

Yllä oleva komento kehottaa sinua vastaamaan alla oleviin kysymyksiin. Muista käyttää skenaariaasi soveltuvia arvoja.

Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:Lower Parel
Locality Name (eg, city) [Default City]:Mumbai
Organization Name (eg, company) [Default Company Ltd]:TecMint.com
Organizational Unit Name (eg, section) []:Linux and Open Source
Common Name (eg, your name or your server's hostname) []:tecmint
Email Address []:[email 

Vaihe 2. VSFTPD:n määrittäminen käyttämään SSL/TLS:ää

3. Avaa VSFTPD-määritystiedosto muokkausta varten käyttämällä suosikkikomentorivieditoria.

vi /etc/vsftpd/vsftpd.conf

Ota SSL käyttöön lisäämällä seuraavat määritysparametrit ja valitse sitten käytettävä SSL- ja TLS-versio tiedoston lopusta.

ssl_enable=YES
ssl_tlsv1_2=YES
ssl_sslv2=NO
ssl_sslv3=NO

4. Lisää seuraavaksi vaihtoehdot rsa_cert_file ja rsa_private_key_file määrittääksesi SSL-varmenteen ja avaintiedoston sijainnin.

rsa_cert_file=/etc/ssl/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/ssl/vsftpd/vsftpd.pem

5. Lisää nyt nämä parametrit poistaaksesi anonyymit yhteydet käytöstä SSL:n ja pakottaa kaikki ei-anonyymit yhteydet käyttämään SSL:ää.

allow_anon_ssl=NO			# disable anonymous users from using SSL
force_local_data_ssl=YES		# force all non-anonymous logins to use a secure SSL connection for data transfer
force_local_logins_ssl=YES		# force all non-anonymous logins  to send the password over SSL

6. Lisää seuraavaksi nämä vaihtoehdot poistaaksesi kaiken SSL-datayhteyksien uudelleenkäytön ja aseta SSL-salaukset KORKEA sallimaan salatut SSL-yhteydet.

require_ssl_reuse=NO
ssl_ciphers=HIGH

7. Sinun on myös määritettävä passiivisten porttien porttialue (min ja maksimi portti), joita vsftpd käyttää suojatuissa yhteyksissä käyttämällä pasv_min_port- ja pasv_max_port parametreja. Lisäksi voit valinnaisesti ottaa käyttöön SSL-virheenkorjauksen vianetsintätarkoituksiin käyttämällä debug_ssl-vaihtoehtoa.

pasv_min_port=40000
pasv_max_port=50000
debug_ssl=YES

8. Tallenna lopuksi tiedosto ja käynnistä vsftpd-palvelu uudelleen, jotta yllä olevat muutokset tulevat voimaan.

systemctl restart vsftpd

9. Vielä yksi tärkeä tehtävä ennen kuin voit käyttää FTP-palvelinta turvallisesti, on avata järjestelmän portit 990 ja 40000-50000. palomuuri. Tämä mahdollistaa TLS-yhteydet vsftpd-palveluun ja avaa VSFTPD-määritystiedostossa määritellyn passiivisen portin porttialueen seuraavasti.

firewall-cmd --zone=public --permanent –add-port=990/tcp
firewall-cmd --zone=public --permanent –add-port=40000-50000/tcp
firewall-cmd --reload

Vaihe 3: Asenna FileZilla muodostaaksesi suojatun yhteyden FTP-palvelimeen

10. Jotta voit muodostaa turvallisen yhteyden FTP-palvelimeen, tarvitset FTP-asiakkaan, joka tukee SSL/TLS-yhteyksiä, kuten FileZilla – on avoin lähdekoodi. , laajalti käytetty, monialustainen FTP-, SFTP- ja FTPS-asiakas, joka tukee oletuksena SSL/TLS-yhteyksiä.

Asenna FileZilla Linuxiin käyttämällä oletuspaketinhallintaasi seuraavasti:

sudo apt-get install filezilla   		#Debian/Ubuntu
yum install epel-release filezilla		#On CentOS/RHEL
dnf install filezilla			        #Fedora 22+
sudo zypper install filezilla			#openSUSE

11. Kun Filezilla-paketti on asennettu, etsi se järjestelmävalikosta ja avaa se. Jos haluat muodostaa nopean yhteyden FTP-etäpalvelimeen, anna pääliittymästä isännän IP-osoite, käyttäjätunnus ja käyttäjän salasana. Napsauta sitten QuickConnect.

12. Sitten sovellus pyytää sinua sallimaan suojatun yhteyden käyttämällä tuntematonta, itse allekirjoitettua varmennetta. Jatka napsauttamalla OK.

Jos palvelimen asetukset ovat kunnossa, yhteyden pitäisi onnistua seuraavan kuvakaappauksen mukaisesti.

13. Testaa lopuksi suojatun FTP-yhteyden tila yrittämällä ladata tiedostoja laitteeltasi palvelimelle seuraavan kuvakaappauksen mukaisesti.

Siinä kaikki! Tässä artikkelissa näytimme, kuinka FTP-palvelin suojataan käyttämällä SSL/TLS-suojattua tiedostojen siirtoa RHEL 8:ssa. Tämä on toinen osa kattavasta oppaastamme, joka koskee FTP-palvelimen asentamista, määrittämistä ja suojaamista RHEL 8:ssa. Jos haluat jakaa kysymyksiä tai ajatuksia, käytä alla olevaa palautelomaketta.