Nustatykite saugų FTP failų perdavimą naudodami SSL/TLS 8 RHEL

Paskutiniame straipsnyje mes išsamiai aprašėme, kaip įdiegti ir konfigūruoti FTP serverį „RHEL 8 Linux“. Šiame straipsnyje paaiškinsime, kaip apsaugoti FTP serverį naudojant SSL/TLS, kad būtų įgalintos duomenų šifravimo paslaugos saugiam failų perdavimui tarp sistemų.

Tikimės, kad jau turite tinkamai įdiegtą ir veikiantį FTP serverį. Jei ne, naudokite šį vadovą, kad jį įdiegtumėte savo sistemoje.

  1. Kaip įdiegti, konfigūruoti ir apsaugoti FTP serverį naudojant RHEL 8

1 žingsnis. SSL/TLS sertifikato ir privataus rakto generavimas

1. Sukurkite šį katalogą, kad išsaugotumėte SSL/TLS sertifikatą ir raktų failus.

# mkdir -p /etc/ssl/vsftpd

2. Tada sugeneruokite savarankiškai pasirašytą SSL/TLS sertifikatą ir privatųjį raktą naudodami šią komandą.

# openssl req -x509 -nodes -keyout /etc/ssl/vsftpd/vsftpd.pem -out /etc/ssl/vsftpd/vsftpd.pem -days 365 -newkey rsa:2048

Toliau pateikiamas kiekvienos pirmiau nurodytoje komandoje naudojamos žymos paaiškinimas.

  1. req - tai X.509 sertifikato pasirašymo užklausos (CSR) valdymo komanda.
  2. x509 - reiškia X.509 sertifikato duomenų valdymą.
  3. dienos - apibrėžia dienų, kurioms galioja pažymėjimas, skaičių.
  4. newkey - nurodo sertifikato rakto procesorių.
  5. rsa: 2048 - RSA rakto procesorius, sugeneruos 2048 bitų privatų raktą.
  6. keyout - nustato raktų saugojimo failą.
  7. out - nustato sertifikato saugyklos failą, atkreipkite dėmesį, kad sertifikatas ir raktas saugomi tame pačiame faile: /etc/ssl/vsftpd/vsftpd.pem.

Pirmiau nurodyta komanda paragins jus atsakyti į toliau pateiktus klausimus, nepamirškite naudoti jūsų scenarijui tinkamų verčių.

Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:Lower Parel
Locality Name (eg, city) [Default City]:Mumbai
Organization Name (eg, company) [Default Company Ltd]:TecMint.com
Organizational Unit Name (eg, section) []:Linux and Open Source
Common Name (eg, your name or your server's hostname) []:tecmint
Email Address []:[email 

2 žingsnis. VSFTPD konfigūravimas naudoti SSL/TLS

3. Atidarykite VSFTPD konfigūracijos failą redaguoti naudodami mėgstamą komandų eilutės redaktorių.

# vi /etc/vsftpd/vsftpd.conf

Pridėkite šiuos konfigūracijos parametrus, kad įgalintumėte SSL, tada failo pabaigoje pasirinkite naudojamą SSL ir TLS versiją.

ssl_enable=YES
ssl_tlsv1_2=YES
ssl_sslv2=NO
ssl_sslv3=NO

4. Tada pridėkite parinktis rsa_cert_file ir rsa_private_key_file, kad nurodytumėte atitinkamai SSL sertifikato ir rakto failo vietą.

rsa_cert_file=/etc/ssl/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/ssl/vsftpd/vsftpd.pem

5. Dabar pridėkite šiuos parametrus, jei norite išjungti anoniminius ryšius naudoti SSL ir priversti visus ne anoniminius ryšius per SSL.

allow_anon_ssl=NO			# disable anonymous users from using SSL
force_local_data_ssl=YES		# force all non-anonymous logins to use a secure SSL connection for data transfer
force_local_logins_ssl=YES		# force all non-anonymous logins  to send the password over SSL

6. Tada pridėkite šią parinktį, kad išjungtumėte bet kokį pakartotinį SSL duomenų ryšių naudojimą, ir nustatykite SSL šifrus HIGH leisti šifruotus SSL ryšius.

require_ssl_reuse=NO
ssl_ciphers=HIGH

7. Taip pat turite nurodyti pasyviųjų prievadų, kuriuos „vsftpd“ naudos saugiems ryšiams, prievadų diapazoną (min ir max prievadus), naudodami atitinkamai parametrus „pasv_min_port“ ir „pasv_max_port“. Be to, trikčių šalinimo tikslais galite įgalinti SSL derinimą, naudodami parinktį debug_ssl.

pasv_min_port=40000
pasv_max_port=50000
debug_ssl=YES

8. Galiausiai išsaugokite failą ir iš naujo paleiskite „vsftpd“ paslaugą, kad pirmiau minėti pakeitimai įsigaliotų.

# systemctl restart vsftpd

9. Dar viena svarbi užduotis, kurią reikia atlikti prieš saugiai prisijungiant prie FTP serverio, yra sistemos ugniasienėje atidaryti 990 ir 40000-50000 prievadus. Tai leis TLS prisijungti prie „vsftpd“ paslaugos ir atidaryti pasyviųjų prievadų diapazoną, apibrėžtą VSFTPD konfigūracijos faile, taip, kaip nurodyta toliau.

# firewall-cmd --zone=public --permanent –add-port=990/tcp
# firewall-cmd --zone=public --permanent –add-port=40000-50000/tcp
# firewall-cmd --reload

3 žingsnis: įdiekite „FileZilla“, kad galėtumėte saugiai prisijungti prie FTP serverio

10. Norint saugiai prisijungti prie FTP serverio, jums reikia FTP kliento, palaikančio SSL/TLS ryšius, pvz., „FileZilla“ - tai atviro kodo, plačiai naudojamas, daugiaplatformis FTP, SFTP ir FTPS klientas, palaikantis SSL/TLS ryšius. pagal nutylėjimą.

Įdiekite „FileZilla“ sistemoje „Linux“ naudodami numatytąjį paketų tvarkyklę taip:

$ sudo apt-get install filezilla   		#Debian/Ubuntu
# yum install epel-release filezilla		#On CentOS/RHEL
# dnf install filezilla			        #Fedora 22+
$ sudo zypper install filezilla			#openSUSE

11. Įdiegę „Filezilla“ paketą, sistemos meniu ieškokite jo ir atidarykite. Norėdami greitai prijungti nuotolinį FTP serverį iš pagrindinės sąsajos, pateikite pagrindinio kompiuterio IP adresą, vartotojo vardą ir vartotojo slaptažodį. Tada spustelėkite „QuickConnect“.

12. Tada programa paprašys leisti saugų ryšį naudojant nežinomą, pačių pasirašytą sertifikatą. Jei norite tęsti, spustelėkite Gerai.

Jei konfigūracija serveryje yra gera, ryšys turėtų būti sėkmingas, kaip parodyta kitoje ekrano kopijoje.

13. Galiausiai patikrinkite FTP saugaus ryšio būseną bandydami įkelti failus iš savo kompiuterio į serverį, kaip parodyta kitoje ekrano kopijoje.

Tai viskas! Šiame straipsnyje mes parodėme, kaip apsaugoti FTP serverį naudojant SSL/TLS saugiam failų perdavimui RHEL 8. Tai yra antroji mūsų išsamaus vadovo, kaip įdiegti, konfigūruoti ir apsaugoti FTP serverį, naudojant RHEL 8, dalis. Norėdami bendrinti bet kokias užklausas ar minčių, naudokitės žemiau esančia atsiliepimų forma.