Állítsa be a biztonságos FTP fájlátvitelt SSL/TLS használatával az RHEL 8-ban

Legutóbbi cikkünkben részletesen leírtuk, hogyan telepíthet és konfigurálhat FTP szervert RHEL 8 Linux alatt. Ebben a cikkben elmagyarázzuk, hogyan lehet biztonságossá tenni egy FTP szervert SSL/TLS használatával az adattitkosítási szolgáltatások engedélyezéséhez a rendszerek közötti biztonságos fájlátvitel érdekében.

Reméljük, hogy már telepítve van egy FTP szerver, és megfelelően működik. Ha nem, kérjük, használja a következő útmutatót a rendszerre történő telepítéséhez.

1. Az FTP-kiszolgáló telepítése, konfigurálása és biztonságossá tétele az RHEL 8-ban

1. lépés: SSL/TLS-tanúsítvány és privát kulcs létrehozása

1. Hozza létre a következő könyvtárat az SSL/TLS tanúsítvány és a kulcsfájlok tárolására.

mkdir -p /etc/ssl/vsftpd

2. Ezután hozzon létre egy önaláírt SSL/TLS tanúsítványt és privát kulcsot a következő paranccsal.

openssl req -x509 -nodes -keyout /etc/ssl/vsftpd/vsftpd.pem -out /etc/ssl/vsftpd/vsftpd.pem -days 365 -newkey rsa:2048

Az alábbiakban a fenti parancsban használt jelzők magyarázata olvasható.

1. req – egy parancs az X.509 tanúsítvány-aláíró kérés (CSR) kezelésére.
2. x509 – X.509 tanúsítvány adatkezelést jelent.
3. napok – meghatározza, hogy a tanúsítvány hány napig érvényes.
4. új kulcs – a tanúsítványkulcs-feldolgozót határozza meg.
5. rsa:2048 – RSA kulcsprocesszor, 2048 bites privát kulcsot generál.
6. keyout – a kulcstároló fájl beállítása.
7. out – beállítja a tanúsítványtároló fájlt, vegye figyelembe, hogy a tanúsítvány és a kulcs is ugyanabban a fájlban van tárolva: /etc/ssl/vsftpd/vsftpd.pem.

A fenti parancs arra kéri, hogy válaszoljon az alábbi kérdésekre, ne felejtse el használni a forgatókönyvre vonatkozó értékeket.

Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:Lower Parel
Locality Name (eg, city) [Default City]:Mumbai
Organization Name (eg, company) [Default Company Ltd]:TecMint.com
Organizational Unit Name (eg, section) []:Linux and Open Source
Common Name (eg, your name or your server's hostname) []:tecmint
Email Address []:[email 

2. lépés: VSFTPD konfigurálása SSL/TLS használatához

3. Nyissa meg a VSFTPD konfigurációs fájlt szerkesztéshez kedvenc parancssori szerkesztője segítségével.

vi /etc/vsftpd/vsftpd.conf

Adja hozzá a következő konfigurációs paramétereket az SSL engedélyezéséhez, majd válassza ki a használni kívánt SSL és TLS verziót a fájl végén.

ssl_enable=YES
ssl_tlsv1_2=YES
ssl_sslv2=NO
ssl_sslv3=NO

4. Ezután adja hozzá az rsa_cert_file és az rsa_private_key_file beállításokat az SSL-tanúsítvány és kulcsfájl helyének megadásához.

rsa_cert_file=/etc/ssl/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/ssl/vsftpd/vsftpd.pem

5. Most adja hozzá ezeket a paramétereket, hogy letiltja az anonim kapcsolatokat az SSL használatából, és minden nem névtelen kapcsolatot SSL-re kényszerít.

allow_anon_ssl=NO			# disable anonymous users from using SSL
force_local_data_ssl=YES		# force all non-anonymous logins to use a secure SSL connection for data transfer
force_local_logins_ssl=YES		# force all non-anonymous logins  to send the password over SSL

6. Ezután adja hozzá ezeket a beállításokat az SSL-adatkapcsolatok újrafelhasználásának letiltásához, és állítsa az SSL-rejtjeleket MAGAS értékre a titkosított SSL-kapcsolatok engedélyezéséhez.

require_ssl_reuse=NO
ssl_ciphers=HIGH

7. Meg kell adnia a vsftpd által a biztonságos kapcsolatokhoz használandó passzív portok porttartományát (min. és max. port) a pasv_min_port és a pasv_max_port használatával. paramétereket. Ezenkívül a debug_ssl opció használatával hibaelhárítási célból opcionálisan engedélyezheti az SSL hibakeresést.

pasv_min_port=40000
pasv_max_port=50000
debug_ssl=YES

8. Végül mentse a fájlt, és indítsa újra a vsftpd szolgáltatást, hogy a fenti módosítások érvénybe lépjenek.

systemctl restart vsftpd

9. Az FTP-szerver biztonságos elérése előtt még egy fontos feladat a 990 és a 40000-50000 portok megnyitása a rendszerben. tűzfal. Ez lehetővé teszi a TLS-kapcsolatokat a vsftpd szolgáltatáshoz, és megnyitja a VSFTPD konfigurációs fájlban meghatározott passzív portok porttartományát, az alábbiak szerint.

firewall-cmd --zone=public --permanent –add-port=990/tcp
firewall-cmd --zone=public --permanent –add-port=40000-50000/tcp
firewall-cmd --reload

3. lépés: Telepítse a FileZillát az FTP-kiszolgálóhoz való biztonságos csatlakozáshoz

10. Az FTP-szerverhez való biztonságos csatlakozáshoz olyan FTP-kliensre van szükség, amely támogatja az SSL/TLS kapcsolatokat, például a FileZilla - nyílt forráskódú , széles körben használt, többplatformos FTP, SFTP és FTPS kliens, amely alapértelmezés szerint támogatja az SSL/TLS kapcsolatokat.

Telepítse a FileZillát Linux rendszeren az alapértelmezett csomagkezelő használatával az alábbiak szerint:

sudo apt-get install filezilla   		#Debian/Ubuntu
yum install epel-release filezilla		#On CentOS/RHEL
dnf install filezilla			        #Fedora 22+
sudo zypper install filezilla			#openSUSE

11. A Filezilla csomag telepítése után keresse meg a rendszermenüben, és nyissa meg. A távoli FTP-kiszolgáló gyors csatlakoztatásához a fő felületről adja meg a gazdagép IP-címét, felhasználónevét és jelszavát. Ezután kattintson a QuickConnect lehetőségre.

12. Ezután az alkalmazás megkéri, hogy engedélyezze a biztonságos csatlakozást az ismeretlen, önaláírt tanúsítvány használatával. A folytatáshoz kattintson az OK gombra.

Ha a kiszolgáló konfigurációja rendben van, a csatlakozásnak sikeresnek kell lennie, ahogy az a következő képernyőképen látható.

13. Végül tesztelje az FTP biztonságos kapcsolat állapotát úgy, hogy megpróbál fájlokat feltölteni a számítógépéről a szerverre a következő képernyőképen látható módon.

Ez minden! Ebben a cikkben bemutattuk, hogyan lehet biztonságossá tenni egy FTP-szervert SSL/TLS használatával a biztonságos fájlátvitelhez az RHEL 8-ban. Ez a második része az FTP-szerver telepítéséhez, konfigurálásához és biztonságossá tételéhez az RHEL 8ban átfogó útmutatónknak. Kérdéseinek vagy gondolatainak megosztásához használja az alábbi visszajelzési űrlapot.