Configureu la transferència segura de fitxers FTP mitjançant SSL/TLS a RHEL 8
En el nostre darrer article, hem descrit detalladament com instal·lar i configurar un servidor FTP a RHEL 8 Linux. En aquest article, explicarem com protegir un servidor FTP mitjançant SSL/TLS per habilitar els serveis de xifratge de dades per a la transferència segura de fitxers entre sistemes.
Esperem que ja tinguis un servidor FTP instal·lat i funcionant correctament. En cas contrari, utilitzeu la guia següent per instal·lar-lo al vostre sistema.
- Com instal·lar, configurar i protegir el servidor FTP a RHEL 8
Pas 1. Generació de certificat SSL/TLS i clau privada
1. Creeu el directori següent per emmagatzemar el certificat SSL/TLS i els fitxers de clau.
# mkdir -p /etc/ssl/vsftpd
2. A continuació, genereu un certificat SSL/TLS autofirmat i una clau privada mitjançant l'ordre següent.
# openssl req -x509 -nodes -keyout /etc/ssl/vsftpd/vsftpd.pem -out /etc/ssl/vsftpd/vsftpd.pem -days 365 -newkey rsa:2048
A continuació es mostra l'explicació de cada indicador utilitzat a l'ordre anterior.
- req: és una ordre per a la gestió de la sol·licitud de signatura de certificat (CSR) X.509.
- x509: significa gestió de dades del certificat X.509.
- dies: defineix un nombre de dies durant els quals el certificat és vàlid.
- newkey: especifica el processador de clau de certificat.
- rsa:2048: el processador de claus RSA, generarà una clau privada de 2048 bits.
- keyout: estableix el fitxer d'emmagatzematge de claus.
- out: estableix el fitxer d'emmagatzematge del certificat, tingueu en compte que tant el certificat com la clau s'emmagatzemen al mateix fitxer: /etc/ssl/vsftpd/vsftpd.pem.
L'ordre anterior us demanarà que respongueu a les preguntes següents, recordeu utilitzar els valors que s'apliquen al vostre escenari.
Country Name (2 letter code) [XX]:IN State or Province Name (full name) []:Lower Parel Locality Name (eg, city) [Default City]:Mumbai Organization Name (eg, company) [Default Company Ltd]:TecMint.com Organizational Unit Name (eg, section) []:Linux and Open Source Common Name (eg, your name or your server's hostname) []:tecmint Email Address []:[email
Pas 2. Configuració de VSFTPD per utilitzar SSL/TLS
3. Obriu el fitxer de configuració VSFTPD per editar-lo amb el vostre editor de línia d'ordres preferit.
# vi /etc/vsftpd/vsftpd.conf
Afegiu els paràmetres de configuració següents per habilitar SSL i, a continuació, seleccioneu la versió de SSL i TLS que voleu utilitzar al final del fitxer.
ssl_enable=YES ssl_tlsv1_2=YES ssl_sslv2=NO ssl_sslv3=NO
4. A continuació, afegiu les opcions rsa_cert_file i rsa_private_key_file per especificar la ubicació del certificat SSL i del fitxer de claus respectivament.
rsa_cert_file=/etc/ssl/vsftpd/vsftpd.pem rsa_private_key_file=/etc/ssl/vsftpd/vsftpd.pem
5. Ara afegiu aquests paràmetres per desactivar les connexions anònimes de l'ús de SSL i forçar totes les connexions no anònimes a través de SSL.
allow_anon_ssl=NO # disable anonymous users from using SSL force_local_data_ssl=YES # force all non-anonymous logins to use a secure SSL connection for data transfer force_local_logins_ssl=YES # force all non-anonymous logins to send the password over SSL
6. A continuació, afegiu aquestes opcions per desactivar tota la reutilització de les connexions de dades SSL i configureu els xifratge SSL ALTA per permetre connexions SSL xifrades.
require_ssl_reuse=NO ssl_ciphers=HIGH
7. També heu d'especificar l'interval de ports (port mín i màxim) dels ports passius que ha d'utilitzar vsftpd per a connexions segures, utilitzant els paràmetres pasv_min_port i pasv_max_port respectivament. A més, podeu activar opcionalment la depuració SSL per a la resolució de problemes mitjançant l'opció debug_ssl.
pasv_min_port=40000 pasv_max_port=50000 debug_ssl=YES
8. Finalment, deseu el fitxer i reinicieu el servei vsftpd perquè els canvis anteriors tinguin efecte.
# systemctl restart vsftpd
9. Una tasca més crítica per realitzar abans de poder accedir de manera segura al servidor FTP és obrir els ports 990 i 40000-50000 al tallafoc del sistema. Això permetrà connexions TLS al servei vsftpd i obrirà l'interval de ports de ports passius definits al fitxer de configuració VSFTPD respectivament, de la següent manera.
# firewall-cmd --zone=public --permanent –add-port=990/tcp # firewall-cmd --zone=public --permanent –add-port=40000-50000/tcp # firewall-cmd --reload
Pas 3: instal·leu FileZilla per connectar-vos de manera segura al servidor FTP
10. Per connectar-se de manera segura al servidor FTP, necessiteu un client FTP que admeti connexions SSL/TLS com FileZilla: és un client FTP, SFTP i FTPS multiplataforma de codi obert, àmpliament utilitzat i que admet connexions SSL/TLS. per defecte.
Instal·leu FileZilla a Linux amb el vostre gestor de paquets predeterminat de la següent manera:
$ sudo apt-get install filezilla #Debian/Ubuntu # yum install epel-release filezilla #On CentOS/RHEL # dnf install filezilla #Fedora 22+ $ sudo zypper install filezilla #openSUSE
11. Un cop instal·lat el paquet Filezilla, cerqueu-lo al menú del sistema i obriu-lo. Per connectar ràpidament el servidor FTP remot, des de la interfície principal, proporcioneu l'adreça IP de l'amfitrió, el nom d'usuari i la contrasenya de l'usuari. A continuació, feu clic a QuickConnect.
12. A continuació, l'aplicació us demanarà que permeteu la connexió segura mitjançant el certificat desconegut i autofirmat. Feu clic a D'acord per continuar.
Si la configuració al servidor està bé, la connexió hauria de tenir èxit tal com es mostra a la captura de pantalla següent.
13. Finalment, comproveu l'estat de la connexió segura FTP provant de carregar fitxers de la vostra màquina al servidor, tal com es mostra a la següent captura de pantalla.
Això és tot! En aquest article, vam mostrar com protegir un servidor FTP mitjançant SSL/TLS per a la transferència segura de fitxers a RHEL 8. Aquesta és la segona part de la nostra guia completa per instal·lar, configurar i protegir un servidor FTP a RHEL 8. Per compartir qualsevol consulta o pensaments, utilitzeu el formulari de comentaris a continuació.