Öruggar ProFTPD tengingar með TLS/SSL samskiptareglum á RHEL/CentOS 7

Eðli málsins samkvæmt var FTP samskiptareglan hönnuð sem óörugg samskiptaregla og öll gögn og lykilorð eru flutt í einföldum texta, sem gerir starf þriðja aðila mjög auðvelt að stöðva öll FTP viðskiptavinur-miðlara, sérstaklega notendanöfn og lykilorð sem notuð eru í auðkenningarferli.

  1. Setja upp ProFTPD Server á RHEL/CentOS 7
  2. Virkja nafnlausan reikning fyrir Proftpd Server í RHEL/CentOS 7

Þessi kennsla mun leiða þig um hvernig þú getur tryggt og dulkóðað FTP samskipti á ProFTPd netþjóni í CentOS/RHEL 7 , með TLS (Transport Layer Security) með Explicit FTPS viðbót (hugsaðu að FTPS sé það sem HTTPS er fyrir HTTP Protocol).

Skref 1: Búðu til Proftpd TLS Module Configuration File

1. Eins og fjallað var um í fyrri Proftpd kennsluefni varðandi nafnlausan reikning, mun þessi handbók einnig nota sömu nálgun við að stjórna Proftpd framtíðarstillingarskrám sem einingar, með hjálp enabled_mod og disabled_mod möppur, sem hýsa alla aukna möguleika netþjónsins.

Svo, búðu til nýja skrá með uppáhalds textaritlinum þínum sem heitir tls.conf í disabled_mod Proftpd slóð og bættu við eftirfarandi tilskipunum.

# nano /etc/proftpd/disabled_mod/tls.conf

Bættu við eftirfarandi útdrætti fyrir TLS skráarstillingar.

<IfModule mod_tls.c>
TLSEngine                               on
TLSLog                                  /var/log/proftpd/tls.log
TLSProtocol                             SSLv23
 
TLSRSACertificateFile                   /etc/ssl/certs/proftpd.crt
TLSRSACertificateKeyFile                /etc/ssl/private/proftpd.key

#TLSCACertificateFile                                     /etc/ssl/certs/CA.pem
TLSOptions                      NoCertRequest EnableDiags NoSessionReuseRequired
TLSVerifyClient                         off
TLSRequired                             on
TLSRenegotiate                          required on
</IfModule>

2. Ef þú notar vafra eða FTP-viðskiptavini sem styðja ekki TLS-tengingar, skrifaðu athugasemd við línuna TLSRequired on til að leyfa TLS og non-TLS tengingar á sama tíma og forðast villuboðin eins og í skjáskot hér að neðan.

Skref 2: Búðu til SSL vottorðaskrár fyrir TLS

3. Eftir að þú hefur búið til TLS mát stillingarskrána. sem mun virkja FTP yfir TLS á Proftpd, þú þarft að búa til SSL vottorð og lykil til að nota örugg samskipti yfir ProFTPD Server með hjálp OpenSSL pakkans.

# yum install openssl

Þú getur notað eina langa skipun til að búa til SSL vottorð og lykilpör, en til að einfalda hlutina geturðu búið til einfalt bash forskrift sem mun búa til SSL pör með nafninu þínu og úthluta réttar heimildum fyrir lykilskrá.

Búðu til bash skrá sem heitir proftpd_gen_ssl á /usr/local/bin/ eða á hvaða annarri keyrslu kerfisleið (skilgreind með PATH breytu).

# nano /usr/local/bin/proftpd_gen_ssl

Bættu eftirfarandi efni við það.

#!/bin/bash
echo -e "\nPlease enter a name for your SSL Certificate and Key pairs:"
read name
 openssl req -x509 -newkey rsa:1024 \
          -keyout /etc/ssl/private/$name.key -out /etc/ssl/certs/$name.crt \
          -nodes -days 365\

 chmod 0600 /etc/ssl/private/$name.key

4. Eftir að þú hefur búið til ofangreinda skrá, úthlutaðu henni með keyrsluheimildum, tryggðu að /etc/ssl/private mappa sé til og keyrðu skriftuna til að búa til SSL vottorð og lykilpör.

# chmod +x /usr/local/bin/proftpd_gen_ssl
# mkdir -p /etc/ssl/private
# proftpd_gen_ssl

Gefðu SSL vottorðinu nauðsynlegar beðnar upplýsingar sem skýra sig sjálfar, en gefðu gaum að Almennt nafn til að passa við Fully Qualified Domain NameFQDN gestgjafans þíns b>.

Skref 3: Virkjaðu TLS á ProFTPD Server

5. Þar sem TLS stillingarskráin sem búin var til áðan bendir nú þegar á rétta SSL vottorðið og lykilskrána er það eina sem eftir er að virkja TLS einingu með því að búa til táknrænan hlekk af tls.conf skrá í enabled-mod möppu og endurræstu ProFTPD púkinn til að beita breytingum.

# ln -s /etc/proftpd/disabled_mod/tls.conf  /etc/proftpd/enabled_mod/
# systemctl restart proftpd

6. Til að slökkva á TLS mát skaltu bara fjarlægja tls.conf táknmynd úr enabled_mod skránni og endurræsa ProFTPD þjóninn til að beita breytingum.

# rm /etc/proftpd/enabled_mod/tls.conf
# systemctl restart proftpd

Skref 4: Opnaðu eldvegg til að leyfa FTP yfir TLS samskipti

7. Til þess að viðskiptavinir geti fengið aðgang að ProFTPD og öruggum flutningsskrám í Passive Mode verður þú að opna allt gáttarsviðið á milli 1024 og 65534 á RHEL /CentOS eldvegg, með eftirfarandi skipunum.

# firewall-cmd --add-port=1024-65534/tcp  
# firewall-cmd --add-port=1024-65534/tcp --permanent
# firewall-cmd --list-ports
# firewall-cmd --list-services
# firewall-cmd --reload

Það er það. Nú er kerfið þitt tilbúið til að samþykkja FTP samskipti yfir TLS frá hlið viðskiptavinarins.

Skref 5: Fáðu aðgang að ProFTPD yfir TLS frá viðskiptavinum

8. Vefvafrar hafa venjulega engan innbyggðan stuðning fyrir FTP yfir TLS samskiptareglur, þannig að öll viðskipti eru send yfir ódulkóðuðu FTP. Einn af framúrskarandi FTP viðskiptavinum er FileZilla, sem er algjörlega opinn uppspretta og getur keyrt á næstum öllum helstu stýrikerfum.

Til að fá aðgang að FTP yfir TLS frá FileZilla, opnaðu Site Manager, veldu FTP á Protocol og Required FTP over TLS á Dulkóðun fellivalmynd, veldu Innskráningargerð sem Venjuleg, sláðu inn FTP skilríkin þín og ýttu á Connect til að hafa samskipti með þjóninum.

9. Ef það er í fyrsta skipti sem þú tengist ProFTPD Server ætti sprettigluggi að birtast með nýja skírteininu, merktu í reitinn sem segir Treystu alltaf vottorði fyrir komandi lotur og smelltu á á Í lagi til að samþykkja vottorð og auðkenna á ProFTPD þjóninum.

Ef þú ætlar að nota aðra viðskiptavini en FileZilla til að fá öruggan aðgang að FTP auðlindum skaltu ganga úr skugga um að þeir styðji FTP yfir TLS samskiptareglur. Nokkur góð dæmi fyrir FTP viðskiptavini sem geta talað FTPS eru gFTP eða LFTP (skipanalína) fyrir NIX.