Sambungan Proftpd Selamat Menggunakan Protokol TLS/SSL pada RHEL/CentOS 7
- 2659
- 100
- Dana Hammes
Oleh sifatnya Ftp Protokol direka sebagai protokol yang tidak selamat dan semua data dan kata laluan dipindahkan dalam teks biasa, menjadikan tugas pihak ketiga sangat mudah untuk memintas semua urus niaga pelayan klien FTP, terutama nama pengguna dan kata laluan yang digunakan dalam proses pengesahan.
Dayakan SSL di Proftpd di RHEL/CentOSKeperluan
- Memasang Pelayan Proftpd di RHEL/CentOS 7
- Dayakan Akaun Tanpa Nama untuk Pelayan Proftpd di RHEL/CentOS 7
Tutorial ini akan membimbing anda bagaimana anda dapat menjamin dan menyulitkan Ftp komunikasi pada Proftpd Pelayan di Centos/RHEL 7, menggunakan TLS (Keselamatan lapisan pengangkutan) dengan lanjutan FTPS yang jelas (fikirkan di FTPS sebagai apa yang HTTPS adalah untuk protokol HTTP).
Langkah 1: Buat fail konfigurasi modul Proftpd TLS
1. Seperti yang dibincangkan dalam tutorial Proftpd sebelumnya mengenai akaun tanpa nama, panduan ini juga akan menggunakan pendekatan yang sama untuk menguruskan fail konfigurasi masa depan proftpd sebagai modul, dengan bantuan enabled_mod dan dilumpuhkan_mod direktori, yang akan menjadi tuan rumah keupayaan lanjutan pelayan.
Oleh itu, buat fail baru dengan editor teks kegemaran anda bernama TLS.Conf dalam dilumpuhkan_mod Laluan Proftpd dan tambahkan arahan berikut.
# nano/etc/proftpd/disabled_mod/tls.Conf
Tambah petikan konfigurasi fail TLS berikut.
TLSEngine on tlslog/var/log/proftpd/tls.log tlsprotocol sslv23 tlsrsacertificatefile/etc/ssl/certs/proftpd.CRT TLSRSACERIFICATIFATEKEKETFILE/ETC/SSL/SWASTA/PROFTPD.Kunci #tlscacertificateFile/etc/ssl/certs/ca.PEM TLSOPTIONS NOCERTREQUEST enablediags nosessionreuserequired tlsverifyclient off tlsrequired on tlsrenegotiate yang diperlukan padaBuat konfigurasi TLS
2. Jika anda menggunakan pelayar atau pelanggan FTP yang tidak menyokong sambungan TLS, komen garis Tlsrequired on Untuk membolehkan sambungan TLS dan bukan TLS pada masa yang sama dan elakkan mesej ralat seperti dalam tangkapan skrin di bawah.
Benarkan sambungan TLSLangkah 2: Buat fail sijil SSL untuk TLS
3. Setelah anda membuat fail konfigurasi modul TLS. yang akan membolehkan FTP melalui TLS di Proftpd, anda perlu menjana sijil SSL dan kunci untuk menggunakan komunikasi selamat melalui pelayan proftpd dengan bantuan OpenSSL pakej.
# yum memasang openssl
Anda boleh menggunakan arahan panjang tunggal untuk menghasilkan sijil SSL dan pasangan utama, tetapi untuk mempermudahkan perkara yang anda boleh membuat skrip bash mudah yang akan menghasilkan pasangan SSL dengan nama yang anda inginkan dan memberikan kebenaran yang betul untuk fail utama.
Buat fail bash bernama proftpd_gen_ssl pada /usr/tempatan/bin/ atau di mana -mana laluan sistem yang boleh dilaksanakan (ditakrifkan oleh $ Jalan berubah).
# nano/usr/local/bin/proftpd_gen_ssl
Tambahkan kandungan berikut kepadanya.
#!/bin/bash echo -e "\ nplease Masukkan nama untuk sijil SSL dan pasangan utama anda:" Baca nama openSSL req -x509 -newkey rsa: 1024 \ -keyout/etc/ssl/private/name/$ Nama Nama.Kunci -out/etc/ssl/certs/$ name.crt \ -nodes -days 365 \ chmod 0600/etc/ssl/private/$ name.kunciBuat sijil SSL
4. Setelah anda membuat fail di atas, berikannya dengan kebenaran pelaksanaan, pastikan bahawa /etc/ssl/swasta Direktori wujud dan jalankan skrip untuk membuat sijil SSL dan pasangan utama.
# chmod +x/usr/local/bin/proftpd_gen_ssl # mkdir -p/etc/ssl/swasta # proftpd_gen_sslBuat Sijil dan Kunci SSL Proftpd
Membekalkan sijil SSL dengan maklumat yang diperlukan yang diperlukan yang jelas, tetapi perhatikan Nama yang selalu digunakan untuk memadankan tuan rumah anda Nama domain yang berkelayakan sepenuhnya - FQDN.
Langkah 3: Dayakan TLS pada Pelayan Proftpd
5. Oleh kerana fail konfigurasi TLS yang dibuat sebelum ini sudah menunjuk kepada sijil SSL yang betul dan fail utama satu -satunya perkara yang tinggal adalah untuk mengaktifkan modul TLS dengan membuat a pautan simbolik dari TLS.Conf fail ke Enabled-Mod direktori dan mula semula Proftpd Daemon untuk menggunakan perubahan.
# ln -s/etc/proftpd/disabled_mod/TLS.conf/etc/proftpd/enabled_mod/ # systemctl mulakan semula proftpdDayakan TLS di Proftpd
6. Untuk melumpuhkan modul TLS hanya keluarkan TLS.Conf Symlink dari enabled_mod direktori dan mulakan semula pelayan proftpd untuk menggunakan perubahan.
# rm/etc/proftpd/enabled_mod/tls.conf # systemctl mulakan semula proftpd
Langkah 4: Buka firewall untuk membolehkan FTP melalui komunikasi TLS
7. Agar pelanggan mengakses proftpd dan selamatkan fail pemindahan di Mod pasif anda mesti membuka seluruh julat pelabuhan antara 1024 dan 65534 Pada firewall RHEL/CentOS, menggunakan arahan berikut.
# firewall-cmd --add-port = 1024-65534/tcp # firewall-cmd --add-port = 1024-65534/tcp --permanent # firewall-cmd-list-ports # firewall-cmd- Perkhidmatan # Firewall-Cmd-ReloadBenarkan sambungan selamat Proftpd
Itu sahaja. Sekarang sistem anda sudah bersedia untuk menerima komunikasi FTP melalui TLS dari sisi pelanggan.
Langkah 5: Akses Proftpd melalui TL dari pelanggan
8. Penyemak imbas web biasanya tidak mempunyai sokongan terbina dalam untuk FTP melalui protokol TLS, jadi semua transaksi dihantar melalui FTP yang tidak disulitkan. Salah satu pelanggan FTP yang paling baik adalah FileZilla, yang merupakan sumber terbuka sepenuhnya dan boleh berjalan pada hampir semua sistem operasi utama.
Untuk mengakses FTP melalui TLS dari FileZilla Open Pengurus tapak, Pilih Ftp pada Protokol dan Memerlukan FTP yang jelas melalui TLS pada Penyulitan menu drop-down, pilih anda Jenis log masuk sebagai Biasa, Masukkan kelayakan FTP anda dan tekan Sambung untuk berkomunikasi dengan pelayan.
Akses Proftpd melalui TLS9. Sekiranya ini kali pertama anda menyambung ke pelayan proftpd pop timbul dengan sijil baru sepatutnya muncul, periksa kotak yang mengatakan Sentiasa mempercayai sijil untuk sesi masa depan dan memukul okey untuk menerima sijil dan mengesahkan kepada pelayan proftpd.
Terima Sijil Proftpd Penyenaraian Direktori Secure ProftpdSekiranya anda merancang untuk menggunakan pelanggan lain daripada FileZilla untuk mengakses sumber FTP dengan selamat pastikan mereka menyokong FTP melalui protokol TLS. Beberapa contoh yang baik untuk pelanggan FTP yang boleh bercakap FTP adalah WINSCP untuk Platform Windows dan GFTP atau Lftp (baris arahan) untuk nix.
- « 5 Alat Arkib Baris Terbaik Untuk Linux - Bahagian 1
- Mengurus pelbagai cakera pengurusan kelantangan logik menggunakan jalur I/O »