Turvalise FTP-failiedastuse seadistamine RHEL 8-s SSL/TLS-i abil


Oma viimases artiklis oleme üksikasjalikult kirjeldanud, kuidas FTP-serverit RHEL 8 Linuxi installida ja konfigureerida. Selles artiklis selgitame, kuidas FTP-serverit SSL/TLS-i abil turvata, et võimaldada andmete krüptimisteenused süsteemide vahel turvaliseks failiedastuseks.

Loodame, et teil on juba FTP-server õigesti installitud ja töötab. Kui ei, siis kasutage selle oma süsteemi installimiseks järgmist juhendit.

  1. Kuidas FTP-serverit RHEL 8-s installida, konfigureerida ja turvata

Samm 1. SSL/TLS-sertifikaadi ja privaatvõtme genereerimine

1. SSL/TLS-sertifikaadi ja võtmefailide salvestamiseks looge järgmine kataloog.

# mkdir -p /etc/ssl/vsftpd

2. Seejärel genereerige järgmise käsu abil ise allkirjastatud SSL/TLS-i sertifikaat ja privaatne võti.

# openssl req -x509 -nodes -keyout /etc/ssl/vsftpd/vsftpd.pem -out /etc/ssl/vsftpd/vsftpd.pem -days 365 -newkey rsa:2048

Järgnevalt selgitatakse kõiki ülaltoodud käsus kasutatud lippe.

  1. req - on käsk X.509 sertifikaadi allkirjastamistaotluse (CSR) haldamiseks.
  2. x509 - tähendab X.509 sertifikaadi andmete haldamist.
  3. päeva - määratleb mitu päeva sertifikaat kehtib.
  4. uus võti - määrab sertifikaadi võtmeprotsessori.
  5. rsa: 2048 - RSA võtmeprotsessor genereerib 2048-bitise privaatvõtme.
  6. keyout - määrab võtme salvestusfaili.
  7. väljas - määrab sertifikaadi salvestusfaili, pange tähele, et nii sertifikaat kui ka võti on salvestatud samasse faili: /etc/ssl/vsftpd/vsftpd.pem.

Ülaltoodud käsk palub teil vastata allpool esitatud küsimustele. Ärge unustage kasutada stsenaariumi jaoks sobivaid väärtusi.

Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:Lower Parel
Locality Name (eg, city) [Default City]:Mumbai
Organization Name (eg, company) [Default Company Ltd]:TecMint.com
Organizational Unit Name (eg, section) []:Linux and Open Source
Common Name (eg, your name or your server's hostname) []:tecmint
Email Address []:[email 

Samm 2. VSFTPD konfigureerimine SSL/TLS-i kasutamiseks

3. Avage oma lemmik käsurea redaktori abil redigeerimiseks VSFTPD konfiguratsioonifail.

# vi /etc/vsftpd/vsftpd.conf

SSL-i lubamiseks lisage järgmised konfiguratsiooniparameetrid, seejärel valige faili lõpus kasutatav SSL-i ja TLS-i versioon.

ssl_enable=YES
ssl_tlsv1_2=YES
ssl_sslv2=NO
ssl_sslv3=NO

4. Järgmisena lisage SSL-sertifikaadi ja võtmefaili asukoha määramiseks suvandid rsa_cert_file ja rsa_private_key_file.

rsa_cert_file=/etc/ssl/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/ssl/vsftpd/vsftpd.pem

5. Nüüd lisage need parameetrid, et keelata anonüümsete ühenduste SSL-i kasutamine ja sundida kõik mitteanonüümsed ühendused SSL-i kaudu.

allow_anon_ssl=NO			# disable anonymous users from using SSL
force_local_data_ssl=YES		# force all non-anonymous logins to use a secure SSL connection for data transfer
force_local_logins_ssl=YES		# force all non-anonymous logins  to send the password over SSL

6. Järgmisena lisage see suvand SSL-andmesideühenduste igasuguse taaskasutamise keelamiseks ja määrake SSL-šifrid HIGH krüptitud SSL-ühendusi lubama.

require_ssl_reuse=NO
ssl_ciphers=HIGH

7. Samuti peate määrama passiivsete portide pordivahemiku (min ja max port), mida vsftpd turvaliste ühenduste jaoks kasutab, kasutades vastavalt parameetreid pasv_min_port ja pasv_max_port. Lisaks saate tõrkeotsingu eesmärgil valikuliselt lubada SSL-i silumise, kasutades valikut debug_ssl.

pasv_min_port=40000
pasv_max_port=50000
debug_ssl=YES

8. Lõpuks salvestage fail ja taaskäivitage vsftpd teenus, et ülaltoodud muudatused jõustuksid.

# systemctl restart vsftpd

9. Veel üks kriitiline ülesanne, mis tuleb teha enne FTP-serverile turvalist juurdepääsu, on süsteemi tulemüüris porti 990 ja 40000-50000 avamine. See võimaldab TLS-i ühendusi vsftpd-teenusega ja avab vastavalt VSFTPD konfiguratsioonifailis määratletud passiivsete portide pordivahemiku järgmiselt.

# firewall-cmd --zone=public --permanent –add-port=990/tcp
# firewall-cmd --zone=public --permanent –add-port=40000-50000/tcp
# firewall-cmd --reload

3. samm: installige FileZilla FTP-serveriga turvaliseks ühenduse loomiseks

10. FTP-serveriga turvaliseks ühenduse loomiseks vajate FTP-klienti, mis toetab SSL/TLS-ühendusi, näiteks FileZilla - on avatud lähtekoodiga, laialt kasutatav platvormidevaheline FTP, SFTP ja FTPS klient, mis toetab SSL/TLS-ühendusi algselt.

Installige FileZilla Linuxi oma vaikepaketi halduri abil järgmiselt:

$ sudo apt-get install filezilla   		#Debian/Ubuntu
# yum install epel-release filezilla		#On CentOS/RHEL
# dnf install filezilla			        #Fedora 22+
$ sudo zypper install filezilla			#openSUSE

11. Pärast paketi Filezilla installimist otsige seda süsteemimenüüst ja avage see. FTP kaugserveri kiireks ühendamiseks sisestage pealiidesest hosti IP-aadress, kasutajanimi ja kasutaja parool. Seejärel klõpsake nuppu QuickConnect.

12. Seejärel palub rakendus teil lubada turvaline ühendus tundmatu, ise allkirjastatud sertifikaadi abil. Jätkamiseks klõpsake nuppu OK.

Kui serveri seadistamine on korras, peaks ühendus olema edukas, nagu on näidatud järgmisel ekraanipildil.

13. Lõpuks testige FTP turvalise ühenduse olekut, proovides faile oma arvutist serverisse laadida, nagu on näidatud järgmisel ekraanipildil.

See on kõik! Selles artiklis näitasime, kuidas kaitsta FTP-serverit RHEL 8-s turvalise failiedastuse jaoks SSL/TLS-i abil. See on meie põhjaliku juhendi teine osa FTP-serveri installimiseks, konfigureerimiseks ja turvamiseks RHEL 8-s. või mõtteid, kasutage allpool olevat tagasiside vormi.