Állítsa be a biztonságos FTP fájlátvitelt SSL/TLS használatával az RHEL 8-ban
Legutóbbi cikkünkben részletesen leírtuk, hogyan telepíthet és konfigurálhat FTP szervert RHEL 8 Linux alatt. Ebben a cikkben elmagyarázzuk, hogyan lehet biztonságossá tenni egy FTP szervert SSL/TLS használatával az adattitkosítási szolgáltatások engedélyezéséhez a rendszerek közötti biztonságos fájlátvitel érdekében.
Reméljük, hogy már telepítve van egy FTP szerver, és megfelelően működik. Ha nem, kérjük, használja a következő útmutatót a rendszerre történő telepítéséhez.
- Az FTP-kiszolgáló telepítése, konfigurálása és biztonságossá tétele az RHEL 8-ban
1. lépés: SSL/TLS-tanúsítvány és privát kulcs létrehozása
1. Hozza létre a következő könyvtárat az SSL/TLS tanúsítvány és a kulcsfájlok tárolására.
mkdir -p /etc/ssl/vsftpd
2. Ezután hozzon létre egy önaláírt SSL/TLS tanúsítványt és privát kulcsot a következő paranccsal.
openssl req -x509 -nodes -keyout /etc/ssl/vsftpd/vsftpd.pem -out /etc/ssl/vsftpd/vsftpd.pem -days 365 -newkey rsa:2048
Az alábbiakban a fenti parancsban használt jelzők magyarázata olvasható.
- req – egy parancs az X.509 tanúsítvány-aláíró kérés (CSR) kezelésére.
- x509 – X.509 tanúsítvány adatkezelést jelent.
- napok – meghatározza, hogy a tanúsítvány hány napig érvényes.
- új kulcs – a tanúsítványkulcs-feldolgozót határozza meg.
- rsa:2048 – RSA kulcsprocesszor, 2048 bites privát kulcsot generál.
- keyout – a kulcstároló fájl beállítása.
- out – beállítja a tanúsítványtároló fájlt, vegye figyelembe, hogy a tanúsítvány és a kulcs is ugyanabban a fájlban van tárolva: /etc/ssl/vsftpd/vsftpd.pem.
A fenti parancs arra kéri, hogy válaszoljon az alábbi kérdésekre, ne felejtse el használni a forgatókönyvre vonatkozó értékeket.
Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:Lower Parel
Locality Name (eg, city) [Default City]:Mumbai
Organization Name (eg, company) [Default Company Ltd]:TecMint.com
Organizational Unit Name (eg, section) []:Linux and Open Source
Common Name (eg, your name or your server's hostname) []:tecmint
Email Address []:[email
2. lépés: VSFTPD konfigurálása SSL/TLS használatához
3. Nyissa meg a VSFTPD konfigurációs fájlt szerkesztéshez kedvenc parancssori szerkesztője segítségével.
vi /etc/vsftpd/vsftpd.conf
Adja hozzá a következő konfigurációs paramétereket az SSL engedélyezéséhez, majd válassza ki a használni kívánt SSL és TLS verziót a fájl végén.
ssl_enable=YES
ssl_tlsv1_2=YES
ssl_sslv2=NO
ssl_sslv3=NO
4. Ezután adja hozzá az rsa_cert_file és az rsa_private_key_file beállításokat az SSL-tanúsítvány és kulcsfájl helyének megadásához.
rsa_cert_file=/etc/ssl/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/ssl/vsftpd/vsftpd.pem
5. Most adja hozzá ezeket a paramétereket, hogy letiltja az anonim kapcsolatokat az SSL használatából, és minden nem névtelen kapcsolatot SSL-re kényszerít.
allow_anon_ssl=NO # disable anonymous users from using SSL
force_local_data_ssl=YES # force all non-anonymous logins to use a secure SSL connection for data transfer
force_local_logins_ssl=YES # force all non-anonymous logins to send the password over SSL
6. Ezután adja hozzá ezeket a beállításokat az SSL-adatkapcsolatok újrafelhasználásának letiltásához, és állítsa az SSL-rejtjeleket MAGAS értékre a titkosított SSL-kapcsolatok engedélyezéséhez.
require_ssl_reuse=NO
ssl_ciphers=HIGH
7. Meg kell adnia a vsftpd által a biztonságos kapcsolatokhoz használandó passzív portok porttartományát (min. és max. port) a pasv_min_port és a pasv_max_port használatával. paramétereket. Ezenkívül a debug_ssl opció használatával hibaelhárítási célból opcionálisan engedélyezheti az SSL hibakeresést.
pasv_min_port=40000
pasv_max_port=50000
debug_ssl=YES
8. Végül mentse a fájlt, és indítsa újra a vsftpd szolgáltatást, hogy a fenti módosítások érvénybe lépjenek.
systemctl restart vsftpd
9. Az FTP-szerver biztonságos elérése előtt még egy fontos feladat a 990 és a 40000-50000 portok megnyitása a rendszerben. tűzfal. Ez lehetővé teszi a TLS-kapcsolatokat a vsftpd szolgáltatáshoz, és megnyitja a VSFTPD konfigurációs fájlban meghatározott passzív portok porttartományát, az alábbiak szerint.
firewall-cmd --zone=public --permanent –add-port=990/tcp
firewall-cmd --zone=public --permanent –add-port=40000-50000/tcp
firewall-cmd --reload
3. lépés: Telepítse a FileZillát az FTP-kiszolgálóhoz való biztonságos csatlakozáshoz
10. Az FTP-szerverhez való biztonságos csatlakozáshoz olyan FTP-kliensre van szükség, amely támogatja az SSL/TLS kapcsolatokat, például a FileZilla - nyílt forráskódú , széles körben használt, többplatformos FTP, SFTP és FTPS kliens, amely alapértelmezés szerint támogatja az SSL/TLS kapcsolatokat.
Telepítse a FileZillát Linux rendszeren az alapértelmezett csomagkezelő használatával az alábbiak szerint:
sudo apt-get install filezilla #Debian/Ubuntu
yum install epel-release filezilla #On CentOS/RHEL
dnf install filezilla #Fedora 22+
sudo zypper install filezilla #openSUSE
11. A Filezilla csomag telepítése után keresse meg a rendszermenüben, és nyissa meg. A távoli FTP-kiszolgáló gyors csatlakoztatásához a fő felületről adja meg a gazdagép IP-címét, felhasználónevét és jelszavát. Ezután kattintson a QuickConnect lehetőségre.
12. Ezután az alkalmazás megkéri, hogy engedélyezze a biztonságos csatlakozást az ismeretlen, önaláírt tanúsítvány használatával. A folytatáshoz kattintson az OK gombra.
Ha a kiszolgáló konfigurációja rendben van, a csatlakozásnak sikeresnek kell lennie, ahogy az a következő képernyőképen látható.
13. Végül tesztelje az FTP biztonságos kapcsolat állapotát úgy, hogy megpróbál fájlokat feltölteni a számítógépéről a szerverre a következő képernyőképen látható módon.
Ez minden! Ebben a cikkben bemutattuk, hogyan lehet biztonságossá tenni egy FTP-szervert SSL/TLS használatával a biztonságos fájlátvitelhez az RHEL 8-ban. Ez a második része az FTP-szerver telepítéséhez, konfigurálásához és biztonságossá tételéhez az RHEL 8ban átfogó útmutatónknak. Kérdéseinek vagy gondolatainak megosztásához használja az alábbi visszajelzési űrlapot.