Nastavite varen prenos datotek FTP s pomočjo SSL/TLS v RHEL 8

V zadnjem članku smo podrobno opisali, kako namestiti in konfigurirati FTP strežnik v RHEL 8 Linux. V tem članku bomo razložili, kako zaščititi strežnik FTP s pomočjo SSL/TLS, da omogočim storitve šifriranja podatkov za varen prenos datotek med sistemi.

Upamo, da imate strežnik FTP že nameščen in deluje pravilno. V nasprotnem primeru uporabite naslednji vodnik, če ga želite namestiti v svoj sistem.

  1. Kako namestiti, konfigurirati in zaščititi strežnik FTP v RHEL 8

Korak 1. Ustvarjanje potrdila SSL/TLS in zasebnega ključa

1. Ustvarite naslednji imenik za shranjevanje potrdil SSL/TLS in datotek ključev.

# mkdir -p /etc/ssl/vsftpd

2. Nato z naslednjim ukazom ustvarite samopodpisano potrdilo SSL/TLS in zasebni ključ.

# openssl req -x509 -nodes -keyout /etc/ssl/vsftpd/vsftpd.pem -out /etc/ssl/vsftpd/vsftpd.pem -days 365 -newkey rsa:2048

Sledi razlaga vsake zastavice, uporabljene v zgornjem ukazu.

  1. req - je ukaz za upravljanje zahteve za podpis potrdila X.509 (CSR).
  2. x509 - pomeni upravljanje podatkov potrdila X.509.
  3. dni - določa, koliko dni velja potrdilo.
  4. newkey - določa procesor ključa potrdila.
  5. rsa: 2048 - Procesor ključev RSA bo ustvaril 2048-bitni zasebni ključ.
  6. keyout - nastavi datoteko za shranjevanje ključev.
  7. out - nastavi datoteko za shranjevanje potrdil, upoštevajte, da sta potrdilo in ključ shranjena v isti datoteki: /etc/ssl/vsftpd/vsftpd.pem.

Zgornji ukaz vas bo pozval, da odgovorite na spodnja vprašanja, ne pozabite uporabiti vrednosti, ki veljajo za vaš scenarij.

Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:Lower Parel
Locality Name (eg, city) [Default City]:Mumbai
Organization Name (eg, company) [Default Company Ltd]:TecMint.com
Organizational Unit Name (eg, section) []:Linux and Open Source
Common Name (eg, your name or your server's hostname) []:tecmint
Email Address []:[email 

Korak 2. Konfiguriranje VSFTPD za uporabo SSL/TLS

3. Odprite konfiguracijsko datoteko VSFTPD za urejanje z vašim najljubšim urejevalnikom ukazne vrstice.

# vi /etc/vsftpd/vsftpd.conf

Dodajte naslednje konfiguracijske parametre, da omogočite SSL, nato na koncu datoteke izberite različico SSL in TLS, ki jo želite uporabiti.

ssl_enable=YES
ssl_tlsv1_2=YES
ssl_sslv2=NO
ssl_sslv3=NO

4. Nato dodajte možnosti rsa_cert_file in rsa_private_key_file, da določite lokacijo potrdila SSL oziroma datoteke ključa.

rsa_cert_file=/etc/ssl/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/ssl/vsftpd/vsftpd.pem

5. Zdaj dodajte te parametre, da onemogočite anonimnim povezavam uporabo SSL in vsilite vse neanonimne povezave prek SSL.

allow_anon_ssl=NO			# disable anonymous users from using SSL
force_local_data_ssl=YES		# force all non-anonymous logins to use a secure SSL connection for data transfer
force_local_logins_ssl=YES		# force all non-anonymous logins  to send the password over SSL

6. Nato dodajte to možnost, da onemogočite vso ponovno uporabo podatkovnih povezav SSL, in nastavite VISOKO šifre SSL, da omogočajo šifrirane povezave SSL.

require_ssl_reuse=NO
ssl_ciphers=HIGH

7. Določiti morate tudi obseg vrat (min in max vrata) pasivnih vrat, ki jih bo vsftpd uporabljal za varne povezave, s pomočjo parametrov pasv_min_port in pasv_max_port. Poleg tega lahko po želji omogočite odpravljanje napak SSL za odpravljanje težav z možnostjo debug_ssl.

pasv_min_port=40000
pasv_max_port=50000
debug_ssl=YES

8. Končno shranite datoteko in znova zaženite storitev vsftpd, da bodo zgornje spremembe začele veljati.

# systemctl restart vsftpd

9. Še ena pomembna naloga, ki jo morate opraviti, preden lahko varno dostopate do strežnika FTP, je odpiranje vrat 990 in 40000-50000 v sistemskem požarnem zidu. To bo omogočilo povezave TLS s storitvijo vsftpd in odprlo obseg vrat pasivnih vrat, določenih v konfiguracijski datoteki VSFTPD, kot sledi.

# firewall-cmd --zone=public --permanent –add-port=990/tcp
# firewall-cmd --zone=public --permanent –add-port=40000-50000/tcp
# firewall-cmd --reload

3. korak: Namestite FileZilla za varno povezavo s strežnikom FTP

10. Za varno povezavo s strežnikom FTP potrebujete odjemalca FTP, ki podpira povezave SSL/TLS, kot je FileZilla - je odprtokodni, široko uporabljen odjemalec FTP, SFTP in FTPS z več platformami, ki podpira povezave SSL/TLS. privzeto.

Namestite FileZilla v Linux s privzetim upraviteljem paketov, kot sledi:

$ sudo apt-get install filezilla   		#Debian/Ubuntu
# yum install epel-release filezilla		#On CentOS/RHEL
# dnf install filezilla			        #Fedora 22+
$ sudo zypper install filezilla			#openSUSE

11. Ko je paket Filezilla nameščen, ga poiščite v sistemskem meniju in odprite. Za hitro povezavo oddaljenega strežnika FTP iz glavnega vmesnika vnesite naslov gostitelja IP, uporabniško ime in uporabniško geslo. Nato kliknite QuickConnect.

12. Nato vas bo aplikacija prosila, da dovolite varno povezavo z neznanim, samopodpisanim potrdilom. Za nadaljevanje kliknite V redu.

Če je konfiguracija na strežniku v redu, mora biti povezava uspešna, kot je prikazano na naslednjem posnetku zaslona.

13. Na koncu preizkusite stanje varne povezave FTP s poskusom nalaganja datotek iz vaše naprave na strežnik, kot je prikazano na naslednjem posnetku zaslona.

To je vse! V tem članku smo pokazali, kako zaščititi FTP strežnik s pomočjo SSL/TLS za varen prenos datotek v RHEL 8. To je drugi del našega obsežnega vodnika za namestitev, konfiguracijo in zaščito FTP strežnika v RHEL 8. Skupna raba vseh poizvedb ali misli, uporabite spodnji obrazec za povratne informacije.