Sådan installeres og konfigureres vsftpd med TLS på Debian 8 (Jessie)

Sådan installeres og konfigureres vsftpd med TLS på Debian 8 (Jessie)

Denne artikel forklarer, hvordan du opretter en TLS-aktiveret vsftpd-server på en Debian 8-server, og hvordan du får adgang til FTP-serveren med FileZilla. FTP er som standard en meget usikker protokol, fordi alle adgangskoder og alle data overføres i klar tekst. Ved at bruge TLS kan hele kommunikationen krypteres, hvilket gør FTP meget mere sikker.

1 Preliminary Note

I denne vejledning bruger jeg værtsnavnet server1.example.com med IP-adressen 192.168.1.100. Disse indstillinger kan variere for dig, så du skal udskifte dem, hvor det er relevant. Jeg bruger Debian 8 minimal server opsætning som grundlag for denne vejledning.

2 Installer vsftpd og OpenSSL

OpenSSL er brug for af TLS; at installere vsftpd og OpenSSL, kører vi simpelthen:

apt-get -y installer vsftpd openssl

3 Oprettelse af SSL-certifikatet til TLS

For at kunne bruge TLS skal vi oprette et SSL-certifikat. Jeg opretter det i / etc / ssl / private - hvis mappen ikke eksisterer, opret den nu ::

mkdir -p / etc / ssl / private
chmod 700 / etc / ssl / private

Herefter kan vi generere SSL-certifikatet som følger:

openssl req -x509 -noder-dage 365 -nywkey rsa: 1024 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem

Landnavn (2-bogstavkode) [AU]: <- Indtast dit landnavn (f.eks. "DE").
Navn på stat eller provins (fuldt navn) [Nemstat]: <- Indtast dit navn eller provins.
Lokalitetsnavn (f.eks. By) []: <- Indtast din by.
Organisationsnavn (f.eks. Firma) [Internet Widgits Pty Ltd]: <- Indtast dit organisationsnavn (f.eks. Navnet på dit firma).
Organisationsenhedsnavn (f.eks. Sektion) []: <- Indtast navnet på din organisationsenhed (f.eks. "IT-afdelingen").
Fælles navn (f.eks. Dit navn) []: <- Indtast systemets fuldt kvalificerede domænenavn (f.eks. "Server1.example.com").
E-mail-adresse []: <- Indtast din e-mail-adresse.

4 Aktivering af TLS I vsftpd

For at aktivere TLS i vsftpd, skal du åbne /etc/vsftpd.conf...

nano /etc/vsftpd.conf

... og tilføj eller ændret følgende muligheder:

[...] # Tænd SSL ssl_enable = YES # Tillad anonyme brugere at bruge sikrede SSL-forbindelser allow_anon_ssl = YES # Alle ikke-anonyme login er nødt til at bruge en sikker SSL-forbindelse for at # sende og modtage data om dataforbindelser. force_local_data_ssl = YES # Alle ikke-anonyme login er tvunget til at bruge en sikker SSL-forbindelse for at sende adgangskoden. force_local_logins_ssl = YES # Tillad TLS v1 protokolforbindelser. TLS v1-forbindelser foretrækkes ssl_tlsv1 = YES # Tillad SSL v2-protokolforbindelser. TLS v1-forbindelser foretrækkes ssl_sslv2 = NO # tillader SSL v3-protokolforbindelser. TLS v1-forbindelser foretrækkes ssl_sslv3 = NEJ # Deaktiver SSL-sessionens genbrug (kræves af WinSCP) require_ssl_reuse = NEJ Vælg hvilke SSL-cifre vsftpd der tillader krypterede SSL-forbindelser (kræves af FileZilla) ssl_ciphers = HIGH # Denne indstilling angiver RSA's placering certifikat til brug for SSL # krypterede forbindelser. rsa_cert_file = / etc / ssl / private / vsftpd.pem [...]

Hvis du bruger force_local_logins_ssl = YES og force_local_data_ssl = YES, er det kun tilladt TLS-forbindelser (dette låses ud for alle brugere med gamle FTP-klienter, der ikke har TLS-support); ved hjælp af force_local_logins_ssl = NO og force_local_data_ssl = Der er ikke tilladt både TLS- og ikke-TLS-forbindelser afhængigt af, hvad FTP-klienten understøtter.

Bortset fra TLS-mulighederne skal du sørge for at have følgende indstillinger i din vsftpd.conf for at aktivere ikke-anonyme login:

[...] # Uncomment dette for at tillade lokale brugere at logge ind. Local_enable = YES # # Ukomment dette for at aktivere enhver form for FTP skrive kommando. write_enable = YES # # Standard umask for lokale brugere er 077. Du kan ønske at ændre dette til 022, # hvis dine brugere forventer at (022 bruges af de fleste andre ftpd'er) local_umask = 022 [...]

Genstart vsftpd bagefter:

service vsftpd genstart

Det er det. Du kan nu forsøge at oprette forbindelse via din FTP-klient; Du skal dog konfigurere din FTP-klient til at bruge TLS (dette er et must, hvis du bruger force_local_logins_ssl = YES og force_local_data_ssl = YES) - se næste kapitel hvordan du gør det med FileZilla.

5 vsftpd tilføj bruger

I dette trin tilføjer vi en lokal Linux-bruger, som vi kan bruge til at oprette forbindelse til. Jeg vil oprette en bruger "til" med adgangskoden "howtoforge". Alle FTP-brugere skal have deres hjemmapper i mkdir / var / ftproot, så jeg opretter denne mappe først.

mkdir / var / ftproot

Tilføj derefter brugeren med kommandoen:

adduser -home / var / ftproot / till till

Adduser-kommandoen vil bede om brugeradgangskoden og nogle andre detaljer

[Email protected]: / # adduser -home / var / ftproot / till till
Tilføjelse af bruger `til '...
Tilføjelse af ny gruppe `til '(1001) ...
Tilføjelse af ny bruger `til '(1001) med gruppe` til' ...
Oprettelse af hjemmekatalog `/ var / ftproot / till '...
Kopiering af filer fra `/ etc / skel '...
Indtast nyt UNIX-kodeord: <- Indtast den nye adgangskode her
Skriv nyt UNIX-kodeord: <- Indtast den nye adgangskode her
passwd: password opdateret med succes
Ændring af brugeroplysninger for till
Indtast den nye værdi, eller tryk på ENTER for standard
Fuldt navn []: <- Indtast dit navn her eller tryk enter for at springe over
Værelsesnummer []: <- Indtast værelsesnummer her eller tryk enter for at springe over
Arbejds-telefon []: <- Indtast arbejdstelefon her eller tryk på Enter for at springe over
Home Phone []: <- Indtast hjemme telefon her eller tryk enter for at springe over
Andet []: <- Indtast Andre brugeroplysninger her, eller tryk enter for at springe over
Er oplysningerne korrekte? [Y / n] <- Y

Vi har tilføjet en FTP-bruger med succes.

6 Konfiguration af FileZilla til TLS

For at kunne bruge FTP med TLS skal du have en FTP-klient, der understøtter TLS, f.eks FileZilla.

I FileZilla skal du åbne Server Manager:

Filezilla server manager.

Indtast IP-adressen eller værtsnavnet på FTP-serveren i serverfeltet, vælg protokollen "FTP" og "Kræv eksplicit FTP over TLS", og indtast brugernavnet i brugerfeltet.

Filezilla server login detaljer.

Nu kan du oprette forbindelse til serveren. Hvis du gør dette for første gang, skal du acceptere serverens nye SSL-certifikat:

acceptere ssl cert.

Hvis alt går godt, skal du nu logge ind på serveren:

vsftpd login succesfuldt.

7 Links

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.