Settu upp öruggan FTP skráaflutning með SSL/TLS í RHEL 8

Í síðustu grein okkar höfum við lýst í smáatriðum hvernig á að setja upp og stilla FTP netþjón í RHEL 8 Linux. Í þessari grein munum við útskýra hvernig á að tryggja FTP netþjón með SSL/TLS til að virkja dulkóðunarþjónustu fyrir öruggan skráaflutning á milli kerfa.

Við vonum að þú sért nú þegar með FTP netþjón uppsettan og keyrir rétt. Ef ekki, vinsamlegast notaðu eftirfarandi leiðbeiningar til að setja það upp á vélinni þinni.

  1. Hvernig á að setja upp, stilla og tryggja FTP netþjón í RHEL 8

Skref 1. Búa til SSL/TLS vottorð og einkalykil

1. Búðu til eftirfarandi möppu til að geyma SSL/TLS vottorðið og lykilskrár.

# mkdir -p /etc/ssl/vsftpd

2. Næst skaltu búa til sjálfundirritað SSL/TLS vottorð og einkalykil með því að nota eftirfarandi skipun.

# openssl req -x509 -nodes -keyout /etc/ssl/vsftpd/vsftpd.pem -out /etc/ssl/vsftpd/vsftpd.pem -days 365 -newkey rsa:2048

Eftirfarandi er útskýring á hverjum fána sem notaður er í ofangreindri skipun.

  1. req – er skipun fyrir X.509 Certificate Signing Request (CSR) stjórnun.
  2. x509 – þýðir X.509 vottorðsgagnastjórnun.
  3. dagar – skilgreinir fjölda daga sem vottorð gildir fyrir.
  4. nýr lykill – tilgreinir vottorðslykillinn.
  5. rsa:2048 – RSA lykla örgjörvi, mun búa til 2048 bita einkalykil.
  6. lyklaútgangur – stillir lyklageymsluskrána.
  7. út – stillir skírteinisgeymsluskrána, athugaðu að bæði vottorð og lykill eru geymd í sömu skránni: /etc/ssl/vsftpd/vsftpd.pem.

Ofangreind skipun mun hvetja þig til að svara spurningunum hér að neðan, mundu að nota gildi sem eiga við um atburðarás þína.

Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:Lower Parel
Locality Name (eg, city) [Default City]:Mumbai
Organization Name (eg, company) [Default Company Ltd]:TecMint.com
Organizational Unit Name (eg, section) []:Linux and Open Source
Common Name (eg, your name or your server's hostname) []:tecmint
Email Address []:[email 

Skref 2. Stilla VSFTPD til að nota SSL/TLS

3. Opnaðu VSFTPD stillingarskrána til að breyta með uppáhalds skipanalínuritlinum þínum.

# vi /etc/vsftpd/vsftpd.conf

Bættu við eftirfarandi stillingarbreytum til að virkja SSL, veldu síðan útgáfuna af SSL og TLS sem á að nota, í lok skráarinnar.

ssl_enable=YES
ssl_tlsv1_2=YES
ssl_sslv2=NO
ssl_sslv3=NO

4. Næst skaltu bæta við rsa_cert_file og rsa_private_key_file valkostinum til að tilgreina staðsetningu SSL vottorðsins og lykilskrár í sömu röð.

rsa_cert_file=/etc/ssl/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/ssl/vsftpd/vsftpd.pem

5. Bættu nú við þessum breytum til að slökkva á nafnlausum tengingum frá því að nota SSL og þvinga allar tengingar sem ekki eru nafnlausar yfir SSL.

allow_anon_ssl=NO			# disable anonymous users from using SSL
force_local_data_ssl=YES		# force all non-anonymous logins to use a secure SSL connection for data transfer
force_local_logins_ssl=YES		# force all non-anonymous logins  to send the password over SSL

6. Næst skaltu bæta þessum valkosti við til að slökkva á allri endurnotkun SSL gagnatenginga og stilla SSL dulmálin HÁA til að leyfa dulkóðaðar SSL tengingar.

require_ssl_reuse=NO
ssl_ciphers=HIGH

7. Þú verður líka að tilgreina gáttarsvið (min og max port) óvirkra porta sem vsftpd á að nota fyrir öruggar tengingar, með því að nota pasv_min_port og pasv_max_port færibreyturnar í sömu röð. Að auki geturðu valfrjálst virkjað SSL kembiforrit fyrir bilanaleit með því að nota debug_ssl valkostinn.

pasv_min_port=40000
pasv_max_port=50000
debug_ssl=YES

8. Að lokum skaltu vista skrána og endurræsa vsftpd þjónustuna til að ofangreindar breytingar taki gildi.

# systemctl restart vsftpd

9. Eitt enn mikilvægt verkefni sem þarf að framkvæma áður en þú getur fengið öruggan aðgang að FTP þjóninum er að opna gáttirnar 990 og 40000-50000 í eldvegg kerfisins. Þetta mun leyfa TLS tengingar við vsftpd þjónustu og opna portsvið óvirkra hafna sem skilgreint er í VSFTPD stillingarskránni, eins og hér segir.

# firewall-cmd --zone=public --permanent –add-port=990/tcp
# firewall-cmd --zone=public --permanent –add-port=40000-50000/tcp
# firewall-cmd --reload

Skref 3: Settu upp FileZilla til að tengjast FTP netþjóninum á öruggan hátt

10. Til að tengjast FTP þjóninum á öruggan hátt þarftu FTP biðlara sem styður SSL/TLS tengingar eins og FileZilla – er opinn uppspretta, mikið notaður, þvert á vettvang FTP, SFTP og FTPS biðlara sem styður SSL/TLS tengingar sjálfgefið.

Settu upp FileZilla í Linux með því að nota sjálfgefna pakkastjórann þinn sem hér segir:

$ sudo apt-get install filezilla   		#Debian/Ubuntu
# yum install epel-release filezilla		#On CentOS/RHEL
# dnf install filezilla			        #Fedora 22+
$ sudo zypper install filezilla			#openSUSE

11. Eftir að Filezilla pakkinn hefur verið settur upp skaltu leita að honum í kerfisvalmyndinni og opna hann. Til að tengja ytri FTP-þjóninn fljótt, gefðu upp IP-tölu gestgjafans, notandanafn og lykilorð notanda frá aðalviðmótinu. Smelltu síðan á QuickConnect.

12. Þá mun forritið biðja þig um að leyfa örugga tengingu með því að nota hið óþekkta, sjálf-undirritaða vottorð. Smelltu á OK til að halda áfram.

Ef uppsetningin á þjóninum er í lagi ætti tengingin að ganga vel eins og sýnt er á eftirfarandi skjámynd.

13. Að lokum skaltu prófa örugga FTP-tengingarstöðu með því að reyna að hlaða upp skrám frá vélinni þinni á netþjóninn eins og sýnt er á næstu skjámynd.

Það er allt og sumt! Í þessari grein sýndum við hvernig á að tryggja FTP netþjón með SSL/TLS fyrir öruggan skráaflutning í RHEL 8. Þetta er seinni hluti yfirgripsmikilla leiðbeininganna okkar til að setja upp, stilla og tryggja FTP netþjón í RHEL 8. Til að deila fyrirspurnum eða hugsanir, notaðu athugasemdareyðublaðið hér að neðan.