Linda Viunganisho vya ProFTPD Kwa Kutumia Itifaki ya TLS/SSL kwenye RHEL/CentOS 7
Kwa asili yake Itifaki ya FTP iliundwa kama itifaki isiyo salama na data na nywila zote huhamishwa kwa maandishi wazi, na kufanya kazi ya mtu wa tatu kuwa rahisi sana kuingilia shughuli zote za seva ya mteja wa FTP, haswa majina ya watumiaji na. nywila zinazotumika katika mchakato wa uthibitishaji.
- Kusakinisha Seva ya ProFTPD kwenye RHEL/CentOS 7
- Washa Akaunti Isiyojulikana kwa Seva ya Proftpd katika RHEL/CentOS 7
Mafunzo haya yatakuongoza jinsi unavyoweza kulinda na kusimba mawasiliano ya FTP kwenye ProFTPd Seva katika CentOS/RHEL 7 , kwa kutumia TLS (Usalama wa Tabaka la Usafiri) iliyo na kiendelezi cha Dhahiri cha FTPS (fikiria FTPS kama HTTPS ni nini kwa Itifaki ya HTTP).
Hatua ya 1: Unda Faili ya Usanidi wa Moduli ya Proftpd TLS
1. Kama ilivyojadiliwa katika mafunzo ya awali ya Proftpd kuhusu akaunti Yasiyojulikana, mwongozo huu pia utatumia mbinu sawa ya kudhibiti faili za usanidi za Proftpd za siku zijazo kama moduli, kwa usaidizi wa enabled_mod na disabled_mod saraka, ambayo itakuwa mwenyeji wa uwezo wote uliopanuliwa wa seva.
Kwa hivyo, unda faili mpya ukitumia kihariri chako cha maandishi unachokipenda kiitwacho tls.conf katika disabled_mod njia ya Proftpd na uongeze maagizo yafuatayo.
# nano /etc/proftpd/disabled_mod/tls.conf
Ongeza dondoo ifuatayo ya usanidi wa faili ya TLS.
<IfModule mod_tls.c> TLSEngine on TLSLog /var/log/proftpd/tls.log TLSProtocol SSLv23 TLSRSACertificateFile /etc/ssl/certs/proftpd.crt TLSRSACertificateKeyFile /etc/ssl/private/proftpd.key #TLSCACertificateFile /etc/ssl/certs/CA.pem TLSOptions NoCertRequest EnableDiags NoSessionReuseRequired TLSVerifyClient off TLSRequired on TLSRenegotiate required on </IfModule>
2. Ikiwa unatumia vivinjari au Wateja wa FTP ambao hawatumii miunganisho ya TLS, toa maoni kwenye laini TLSInahitajika kwenye ili kuruhusu miunganisho ya TLS na isiyo ya TLS kwa wakati mmoja na kuepuka ujumbe wa hitilafu kama ilivyo kwenye skrini hapa chini.
Hatua ya 2: Unda Faili za Cheti cha SSL za TLS
3. Baada ya kuunda faili ya usanidi wa moduli ya TLS. ambayo itawezesha FTP juu ya TLS kwenye Proftpd, unahitaji kuzalisha Cheti cha SSL na Ufunguo ili kutumia mawasiliano salama juu ya Seva ya ProFTPD kwa usaidizi wa OpenSSL kifurushi.
# yum install openssl
Unaweza kutumia amri moja ndefu ili kutoa Cheti cha SSL na jozi muhimu, lakini ili kurahisisha mambo unaweza kuunda hati rahisi ya bash ambayo itazalisha jozi za SSL kwa jina lako unalotaka na kupeana ruhusa sahihi kwa faili muhimu.
Unda faili ya bash iitwayo proftpd_gen_ssl kwenye /usr/local/bin/ au kwa njia nyingine yoyote inayoweza kutekelezwa (inayofafanuliwa na PATH tofauti).
# nano /usr/local/bin/proftpd_gen_ssl
Ongeza maudhui yafuatayo kwake.
#!/bin/bash
echo -e "\nPlease enter a name for your SSL Certificate and Key pairs:"
read name
openssl req -x509 -newkey rsa:1024 \
-keyout /etc/ssl/private/$name.key -out /etc/ssl/certs/$name.crt \
-nodes -days 365\
chmod 0600 /etc/ssl/private/$name.key
4. Baada ya kuunda faili iliyo hapo juu, ikabidhi kwa ruhusa za utekelezaji, hakikisha kwamba saraka ya /etc/ssl/private ipo na endesha hati ili kuunda Cheti cha SSL na jozi muhimu.
# chmod +x /usr/local/bin/proftpd_gen_ssl # mkdir -p /etc/ssl/private # proftpd_gen_ssl
Peana Cheti cha SSL kilicho na maelezo yanayohitajika ambayo yana maelezo yako mwenyewe, lakini zingatia Jina la Kawaida ili lilingane na mwenyeji wako Jina la Kikoa Lililohitimu Kamili - FQDN b>.
Hatua ya 3: Washa TLS kwenye Seva ya ProFTPD
5. Kwa vile faili ya Usanidi ya TLS iliyoundwa hapo awali tayari inaelekeza kwenye Cheti cha SSL sahihi na faili Muhimu kitu pekee kilichosalia ni kuwezesha moduli ya TLS kwa kuunda kiungo cha ishara cha tls.conf faili kwenye saraka ya enabled-mod na anzisha upya daemoni ya ProFTPD ili kutekeleza mabadiliko.
# ln -s /etc/proftpd/disabled_mod/tls.conf /etc/proftpd/enabled_mod/ # systemctl restart proftpd
6. Ili kulemaza moduli ya TLS ondoa tu tls.conf ulinganifu kutoka kwenye saraka ya enabled_mod na uanzishe upya seva ya ProFTPD ili kutekeleza mabadiliko.
# rm /etc/proftpd/enabled_mod/tls.conf # systemctl restart proftpd
Hatua ya 4: Fungua Firewall ili kuruhusu FTP kupitia TLS Communication
7. Ili wateja waweze kufikia ProFTPD na salama faili za uhamishaji katika Hali ya Kupita lazima ufungue safu nzima ya mlango kati ya 1024 na 65534 kwenye RHEL. /CentOS Firewall, kwa kutumia amri zifuatazo.
# firewall-cmd --add-port=1024-65534/tcp # firewall-cmd --add-port=1024-65534/tcp --permanent # firewall-cmd --list-ports # firewall-cmd --list-services # firewall-cmd --reload
Ndivyo ilivyo. Sasa mfumo wako uko tayari kukubali mawasiliano ya FTP kupitia TLS kutoka upande wa Mteja.
Hatua ya 5: Fikia ProFTPD kupitia TLS kutoka kwa Wateja
8. Vivinjari vya wavuti kwa kawaida havina usaidizi wa ndani wa FTP kupitia itifaki ya TLS, kwa hivyo miamala yote hutolewa kupitia FTP isiyosimbwa kwa njia fiche. Mojawapo ya Wateja bora zaidi wa FTP ni FileZilla, ambayo ni Open Source kabisa na inaweza kuendeshwa kwenye takriban Mifumo yote mikuu ya Uendeshaji.
Ili kufikia FTP kupitia TLS kutoka FileZilla fungua Kidhibiti cha Tovuti, chagua FTP kwenye Itifaki na Ihitaji FTP dhahiri juu ya TLS ikiwa imewashwa. Usimbaji fiche menyu kunjuzi, chagua Aina ya Nembo kama Kawaida, weka kitambulisho chako cha FTP na ubofye Unganisha ili kuwasiliana na seva.
9. Iwapo ni mara ya kwanza unapounganisha kwenye Seva ya ProFTPD dirisha ibukizi lenye Cheti kipya linapaswa kuonekana, chagua kisanduku kinachosema Amini cheti kila wakati kwa vipindi vijavyo na ugonge. kwenye Sawa ili kukubali Cheti na kuthibitisha kwa seva ya ProFTPD.
Ikiwa unapanga kutumia wateja wengine zaidi ya FileZilla kufikia rasilimali za FTP kwa usalama hakikisha kwamba zinatumia FTP kupitia itifaki ya TLS. Baadhi ya mifano mizuri kwa wateja wa FTP wanaoweza kuzungumza FTPS ni gFTP au LFTP (mstari wa amri) kwa NIX.