RHEL/CentOS 7-de TLS/SSL protokolyny ulanyp, ygtybarly ProFTPD birikmeleri

Tebigaty boýunça FTP protokoly ygtybarly protokol hökmünde işlenip düzüldi we ähli maglumatlar we parollar aç-açan tekstde geçirilýär, bu bolsa FTP müşderi-serwer amallarynyň, esasanam ulanyjy atlarynyň we üçünji tarapyň işini aňsatlaşdyrýar. tanamak prosesinde ulanylýan parollar.

1. RHEL/CentOS 7-de ProFTPD serwerini gurmak
2. RHEL/CentOS 7-de Proftpd Serweri üçin Anonim Hasaby açyň

Bu gollanma, CentOS / RHEL 7 serwerindäki ProFTPd serwerinde FTP aragatnaşygy nädip gorap we şifrläp boljakdygyny görkezer. , Açyk FTPS giňeltmesi bilen TLS (Transport Layer Security) ulanyp (FTPS-de HTTP protokoly üçin HTTPS-iň nämedigini pikir ediň).

1-nji ädim: Proftpd TLS modul konfigurasiýa faýly dörediň

1. Anonim hasap bilen baglanyşykly öňki Proftpd gollanmasynda aýdylyşy ýaly, bu gollanma Proftpd geljekki konfigurasiýa faýllaryny modul ýaly dolandyrmakda-da abled_mod we disabled_mod kömegi bilen ulanar. serverhli serweriň giňeldilen mümkinçiliklerini ýerleşdirjek kataloglar.

Şeýlelik bilen, disabled_mod Proftpd ýolunda tls.conf atly halaýan tekst redaktoryňyz bilen täze faýl dörediň we aşakdaky görkezmeleri goşuň.

# nano /etc/proftpd/disabled_mod/tls.conf

Aşakdaky TLS faýl konfigurasiýa parçasyny goşuň.

<IfModule mod_tls.c>
TLSEngine                               on
TLSLog                                  /var/log/proftpd/tls.log
TLSProtocol                             SSLv23
 
TLSRSACertificateFile                   /etc/ssl/certs/proftpd.crt
TLSRSACertificateKeyFile                /etc/ssl/private/proftpd.key

#TLSCACertificateFile                                     /etc/ssl/certs/CA.pem
TLSOptions                      NoCertRequest EnableDiags NoSessionReuseRequired
TLSVerifyClient                         off
TLSRequired                             on
TLSRenegotiate                          required on
</IfModule>

2. TLS birikmelerini goldamaýan brauzerleri ýa-da FTP Müşderilerini ulanýan bolsaňyz, TLS we TLS däl birikmelere bir wagtyň özünde rugsat bermek we ýalňyş habaryndan gaça durmak üçin TLSRequired on setirine düşündiriş beriň. aşakdaky ekran suraty.

2-nji ädim: TLS üçin SSL şahadatnama faýllaryny dörediň

3. TLS modul konfigurasiýa faýly döredeniňizden soň. Proftpd-de TLS-den FTP-e mümkinçilik döreder, OpenSSL paketiniň kömegi bilen ProFTPD Serwer arkaly ygtybarly aragatnaşyk ulanmak üçin SSL şahadatnamasy we açary döretmeli.

# yum install openssl

SSL şahadatnamasy we açar jübütleri döretmek üçin bir uzyn buýruk ulanyp bilersiňiz, ýöne zatlary aňsatlaşdyrmak üçin, isleýän adyňyz bilen SSL jübütlerini döredip, açar faýly üçin dogry rugsatlary belläp biljek ýönekeý baş skript döredip bilersiňiz.

/usr/local/bin/ ýa-da başga bir ýerine ýetirip boljak ulgam ýolunda ( PATH üýtgeýjisi bilen kesgitlenýär) proftpd_gen_ssl atly baş faýl dörediň.

# nano /usr/local/bin/proftpd_gen_ssl

Oňa aşakdaky mazmuny goşuň.

#!/bin/bash
echo -e "\nPlease enter a name for your SSL Certificate and Key pairs:"
read name
 openssl req -x509 -newkey rsa:1024 \
          -keyout /etc/ssl/private/$name.key -out /etc/ssl/certs/$name.crt \
          -nodes -days 365\

 chmod 0600 /etc/ssl/private/$name.key

4. aboveokardaky faýly döredeniňizden soň, ýerine ýetiriş rugsatlary bilen belläň, /etc/ssl/private katalogynyň bardygyna göz ýetiriň we SSL şahadatnamasy we açar jübütleri döretmek üçin skripti işlediň.

# chmod +x /usr/local/bin/proftpd_gen_ssl
# mkdir -p /etc/ssl/private
# proftpd_gen_ssl

SSL şahadatnamasyny öz-özünden düşündirýän talap edilýän maglumatlar bilen üpjün ediň, ýöne öý eýesiniňize laýyk gelýän umumy at üns beriň Doly kwalifikasiýa domen ady - FQDN .

3-nji ädim: ProFTPD serwerinde TLS-i işlediň

5. Öň döredilen TLS konfigurasiýa faýly sag SSL şahadatnamasyny we açar faýly görkezýärkä, galan zat, tls.conf simwoliki baglanyşyk döretmek arkaly TLS modulyny işjeňleşdirmek. > üýtgeşmeleri ulanmak üçin açyk-mod katalogyna we täzeden açyň ProFTPD daemonyna faýl beriň.

# ln -s /etc/proftpd/disabled_mod/tls.conf  /etc/proftpd/enabled_mod/
# systemctl restart proftpd

6. TLS modulyny öçürmek üçin diňe işjeň_mod katalogyndan tls.conf baglanyşygyny aýyryň we üýtgeşmeler girizmek üçin ProFTPD serwerini täzeden açyň.

# rm /etc/proftpd/enabled_mod/tls.conf
# systemctl restart proftpd

4-nji ädim: TLS Aragatnaşykdan FTP-e rugsat bermek üçin Firewall açyň

7. Müşderileriň ProFTPD-e girmegi we Passiw re ygtybarly faýllara girmegi üçin RHEL-de 1024 bilen 65534 aralygyndaky ähli port aralygyny açmaly./CentOS Firewall, aşakdaky buýruklary ulanyp.

# firewall-cmd --add-port=1024-65534/tcp  
# firewall-cmd --add-port=1024-65534/tcp --permanent
# firewall-cmd --list-ports
# firewall-cmd --list-services
# firewall-cmd --reload

Bu. Indi ulgamyňyz, Müşderi tarapyndan TLS-den FTP aragatnaşygyny kabul etmäge taýyn.

5-nji ädim: Müşderilerden TLS-den ProFTPD-e giriň

8. Web brauzerlerinde, adatça, TLS protokolynyň üstünden FTP üçin içerki goldaw ýok, şonuň üçin ähli amallar kodlanmadyk FTP arkaly berilýär. Iň oňat FTP müşderilerinden biri, doly açyk çeşme we ähli esasy operasiýa ulgamlarynda diýen ýaly işledip bilýän FileZilla .

FileZilla-dan TLS-den FTP-e girmek üçin Saýt dolandyryjysy açyň, teswirnamada FTP saýlaň we TLS-den aç-açan FTP talap ediň Şifrlemek açylýan menýu, Giriş görnüşi adaty saýlaň, FTP şahsyýet maglumatlaryňyzy giriziň we habarlaşmak üçin Birikmek basyň. serwer bilen.

9. ProFTPD Serwerine ilkinji gezek biriken bolsaňyz, täze Şahadatnamasy bolan bir pop-pop peýda bolmaly, gutujygyny belläň Geljekki sessiýalara elmydama şahadatnama ynanyň diýiň we basyň Şahadatnamany kabul etmek we ProFTPD serwerine tassyklamak üçin bolýar -da.

FTP çeşmelerine ygtybarly girmek üçin FileZilla-dan başga müşderileri ulanmagy meýilleşdirýän bolsaňyz, TLS protokolynyň üstünden FTP-ni goldaýandyklaryna göz ýetiriň. FTPS gürläp bilýän FTP müşderileri üçin käbir gowy mysallar gIX ýa-da NIX üçin LFTP (buýruk setiri).