Drošas FTP failu pārsūtīšanas iestatīšana, izmantojot RHEL 8, izmantojot SSL/TLS

Mūsu pēdējā rakstā mēs esam sīki aprakstījuši, kā instalēt un konfigurēt FTP serveri RHEL 8 Linux. Šajā rakstā mēs paskaidrosim, kā nodrošināt FTP serveri, izmantojot SSL/TLS, lai iespējotu datu šifrēšanas pakalpojumus drošai failu pārsūtīšanai starp sistēmām.

Mēs ceram, ka FTP serveris jau ir instalēts un darbojas pareizi. Ja nē, lūdzu, izmantojiet šo ceļvedi, lai to instalētu savā sistēmā.

  1. Kā instalēt, konfigurēt un aizsargāt FTP serveri RHEL 8

1. solis. SSL/TLS sertifikāta un privātās atslēgas ģenerēšana

1. Izveidojiet šādu direktoriju, lai saglabātu SSL/TLS sertifikātu un atslēgu failus.

# mkdir -p /etc/ssl/vsftpd

2. Pēc tam ģenerējiet pašparakstītu SSL/TLS sertifikātu un privāto atslēgu, izmantojot šādu komandu.

# openssl req -x509 -nodes -keyout /etc/ssl/vsftpd/vsftpd.pem -out /etc/ssl/vsftpd/vsftpd.pem -days 365 -newkey rsa:2048

Tālāk ir paskaidrots katrs iepriekš minētajā komandā izmantotais karogs.

  1. req - ir komanda X.509 sertifikāta parakstīšanas pieprasījuma (CSR) pārvaldībai.
  2. x509 - nozīmē X.509 sertifikāta datu pārvaldību.
  3. dienas - nosaka dienu skaitu, kurā sertifikāts ir derīgs.
  4. newkey - norāda sertifikāta atslēgu procesoru.
  5. rsa: 2048 - RSA atslēgu procesors, ģenerēs 2048 bitu privāto atslēgu.
  6. keyout - nosaka atslēgas krātuves failu.
  7. out - iestata sertifikātu krātuves failu, ņemiet vērā, ka gan sertifikāts, gan atslēga tiek glabāti vienā failā: /etc/ssl/vsftpd/vsftpd.pem.

Iepriekš minētā komanda liks jums atbildēt uz tālāk minētajiem jautājumiem, neaizmirstiet izmantot vērtības, kas attiecas uz jūsu scenāriju.

Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:Lower Parel
Locality Name (eg, city) [Default City]:Mumbai
Organization Name (eg, company) [Default Company Ltd]:TecMint.com
Organizational Unit Name (eg, section) []:Linux and Open Source
Common Name (eg, your name or your server's hostname) []:tecmint
Email Address []:[email 

2. solis. VSFTPD konfigurēšana, lai izmantotu SSL/TLS

3. Atveriet rediģēšanai VSFTPD konfigurācijas failu, izmantojot iecienīto komandrindas redaktoru.

# vi /etc/vsftpd/vsftpd.conf

Pievienojiet šādus konfigurācijas parametrus, lai iespējotu SSL, pēc tam faila beigās atlasiet izmantojamo SSL un TLS versiju.

ssl_enable=YES
ssl_tlsv1_2=YES
ssl_sslv2=NO
ssl_sslv3=NO

4. Pēc tam pievienojiet opcijas rsa_cert_file un rsa_private_key_file, lai attiecīgi norādītu SSL sertifikāta un atslēgas faila atrašanās vietu.

rsa_cert_file=/etc/ssl/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/ssl/vsftpd/vsftpd.pem

5. Tagad pievienojiet šos parametrus, lai atspējotu anonīmos savienojumus no SSL izmantošanas un visus anonīmos savienojumus piespiestu SSL.

allow_anon_ssl=NO			# disable anonymous users from using SSL
force_local_data_ssl=YES		# force all non-anonymous logins to use a secure SSL connection for data transfer
force_local_logins_ssl=YES		# force all non-anonymous logins  to send the password over SSL

6. Pēc tam pievienojiet šo opciju, lai atspējotu visu SSL datu savienojumu atkārtotu izmantošanu, un iestatiet SSL šifrus HIGH, lai atļautu šifrētus SSL savienojumus.

require_ssl_reuse=NO
ssl_ciphers=HIGH

7. Jums arī jānorāda pasīvo portu diapazons (min un max ports), kas vsftpd jāizmanto drošiem savienojumiem, attiecīgi izmantojot parametrus pasv_min_port un pasv_max_port. Turklāt problēmu novēršanas nolūkos varat arī iespējot SSL atkļūdošanu, izmantojot opciju debug_ssl.

pasv_min_port=40000
pasv_max_port=50000
debug_ssl=YES

8. Visbeidzot, saglabājiet failu un restartējiet pakalpojumu vsftpd, lai iepriekš minētās izmaiņas stātos spēkā.

# systemctl restart vsftpd

9. Vēl viens svarīgs uzdevums, kas jāveic, pirms varat droši piekļūt FTP serverim, ir sistēmas ugunsmūrī atvērt portus 990 un 40000-50000. Tas ļaus TLS savienojumus ar pakalpojumu vsftpd un atvērs pasīvo portu diapazonu, kas attiecīgi noteikts VSFTPD konfigurācijas failā, šādi.

# firewall-cmd --zone=public --permanent –add-port=990/tcp
# firewall-cmd --zone=public --permanent –add-port=40000-50000/tcp
# firewall-cmd --reload

3. solis: instalējiet FileZilla, lai droši izveidotu savienojumu ar FTP serveri

10. Lai droši izveidotu savienojumu ar FTP serveri, nepieciešams FTP klients, kas atbalsta SSL/TLS savienojumus, piemēram, FileZilla - ir atvērtā koda, plaši izmantots, starpplatformu FTP, SFTP un FTPS klients, kas atbalsta SSL/TLS savienojumus. pēc noklusējuma.

Instalējiet FileZilla operētājsistēmā Linux, izmantojot noklusējuma pakotņu pārvaldnieku šādi:

$ sudo apt-get install filezilla   		#Debian/Ubuntu
# yum install epel-release filezilla		#On CentOS/RHEL
# dnf install filezilla			        #Fedora 22+
$ sudo zypper install filezilla			#openSUSE

11. Pēc Filezilla pakotnes instalēšanas meklējiet to sistēmas izvēlnē un atveriet to. Lai ātri savienotu attālo FTP serveri, no galvenā interfeisa norādiet resursdatora IP adresi, lietotājvārdu un lietotāja paroli. Pēc tam noklikšķiniet uz QuickConnect.

12. Tad lietojumprogramma lūgs atļaut drošu savienojumu, izmantojot nezināmu, pašparakstītu sertifikātu. Noklikšķiniet uz Labi, lai turpinātu.

Ja konfigurācija serverī ir laba, savienojumam jābūt veiksmīgam, kā parādīts nākamajā ekrānuzņēmumā.

13. Visbeidzot, pārbaudiet FTP drošā savienojuma statusu, mēģinot augšupielādēt failus no datora uz serveri, kā parādīts nākamajā ekrānuzņēmumā.

Tas ir viss! Šajā rakstā mēs parādījām, kā aizsargāt FTP serveri, izmantojot SSL/TLS drošai failu pārsūtīšanai RHEL 8. Šī ir mūsu visaptverošās rokasgrāmatas otrā daļa, lai instalētu, konfigurētu un aizsargātu FTP serveri RHEL 8. Lai koplietotu jebkādus jautājumus vai domas, izmantojiet zemāk esošo atsauksmju veidlapu.