RHEL 8-de SSL/TLS ulanyp, ygtybarly FTP faýl geçirişini guruň

Geçen makalamyzda, RHEL 8 Linux-da FTP serwerini nädip gurmaly we sazlamalydygy barada jikme-jik maglumat berdik. Bu makalada, ulgamlaryň arasynda faýl geçirmek üçin maglumatlary şifrlemek hyzmatlaryny işjeňleşdirmek üçin SSL/TLS ulanyp, FTP serwerini nädip goramalydygyny düşündireris.

Sizde eýýäm FTP serweri gurlup, dogry işleýär diýip umyt edýäris. Notok bolsa, ulgamyňyza gurmak üçin aşakdaky gollanmany ulanyň.

  1. RHEL 8-de FTP serwerini nädip gurmaly, sazlamaly we ygtybarly

Stepdim 1. SSL/TLS şahadatnamasyny we şahsy açary döretmek

1. SSL/TLS şahadatnamasyny we esasy faýllary saklamak üçin aşakdaky bukjany dörediň.

# mkdir -p /etc/ssl/vsftpd

2. Ondan soň, aşakdaky buýrugy ulanyp, öz-özüňe gol çekilen SSL/TLS şahadatnamasyny we şahsy açary dörediň.

# openssl req -x509 -nodes -keyout /etc/ssl/vsftpd/vsftpd.pem -out /etc/ssl/vsftpd/vsftpd.pem -days 365 -newkey rsa:2048

Aşakda ýokardaky buýrukda ulanylýan her bir baýdagyň düşündirişi bar.

  1. req - X.509 şahadatnama gol çekmek haýyşy (CSR) dolandyryşy üçin buýruk.
  2. x509 - X.509 şahadatnamasynyň maglumat dolandyryşyny aňladýar.
  3. günler - birnäçe günlük şahadatnamanyň güýjüniň bardygyny kesgitleýär.
  4. newkey - şahadatnamanyň açar prosessoryny kesgitleýär.
  5. rsa: 2048 - RSA açar prosessor, 2048 bit şahsy açar döreder.
  6. açar - açar saklaýjy faýly düzýär.
  7. çykýar - şahadatnamany saklaýan faýly düzýär, şahadatnamanyň we açaryň bir faýlda saklanýandygyna üns beriň: /etc/ssl/vsftpd/vsftpd.pem.

Aboveokardaky buýruk, aşakdaky soraglara jogap bermäge mejbur eder, senariýaňyza degişli bahalary ulanmagy ýatdan çykarmaň.

Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:Lower Parel
Locality Name (eg, city) [Default City]:Mumbai
Organization Name (eg, company) [Default Company Ltd]:TecMint.com
Organizational Unit Name (eg, section) []:Linux and Open Source
Common Name (eg, your name or your server's hostname) []:tecmint
Email Address []:[email 

Stepdim 2. SSL/TLS ulanmak üçin VSFTPD sazlamak

3. Halaýan buýruk setir redaktoryňyzy ulanyp redaktirlemek üçin VSFTPD konfigurasiýa faýlyny açyň.

# vi /etc/vsftpd/vsftpd.conf

SSL-i işletmek üçin aşakdaky konfigurasiýa parametrlerini goşuň, soňra faýlyň soňunda ulanmak üçin SSL we TLS wersiýasyny saýlaň.

ssl_enable=YES
ssl_tlsv1_2=YES
ssl_sslv2=NO
ssl_sslv3=NO

4. Ondan soň, SSL şahadatnamasynyň we açar faýlyň ýerleşýän ýerini kesgitlemek üçin rsa_cert_file we rsa_private_key_file opsiýalaryny goşuň.

rsa_cert_file=/etc/ssl/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/ssl/vsftpd/vsftpd.pem

5. Indi anonim birikmeleri SSL ulanmazlygy öçürmek we ähli näbelli birikmeleri SSL-den zorlamak üçin bu parametrleri goşuň.

allow_anon_ssl=NO			# disable anonymous users from using SSL
force_local_data_ssl=YES		# force all non-anonymous logins to use a secure SSL connection for data transfer
force_local_logins_ssl=YES		# force all non-anonymous logins  to send the password over SSL

6. Ondan soň, SSL maglumat birikmeleriniň gaýtadan ulanylmagyny öçürmek üçin bu opsiýany goşuň we kodlanan SSL birikmelerine rugsat bermek üçin SSL kodlaýjylaryny HIGHokary belläň.

require_ssl_reuse=NO
ssl_ciphers=HIGH

7. Şeýle hem, pasv_min_port we pasv_max_port parametrlerini ulanyp, vsftpd tarapyndan ygtybarly birikmeler üçin ulanyljak passiw portlaryň port aralygyny (min we iň uly port) kesgitlemeli. Mundan başga-da, debug_ssl opsiýasyny ulanyp, näsazlyklary düzetmek maksady bilen SSL düzedişini islege görä açyp bilersiňiz.

pasv_min_port=40000
pasv_max_port=50000
debug_ssl=YES

8. Netijede, ýokardaky üýtgeşmeleriň güýje girmegi üçin faýly ýazdyryň we vsftpd hyzmatyny täzeden açyň.

# systemctl restart vsftpd

9. FTP serwerine ygtybarly girmezden ozal ýerine ýetirmeli ýene bir möhüm mesele, ulgam gorag diwarynda 990 we 40000-50000 portlaryny açmakdyr. Bu, TLS vsftpd hyzmatyna birikmäge we VSFTPD konfigurasiýa faýlynda kesgitlenen passiw portlaryň port diapazonyny aşakdaky ýaly açmaga mümkinçilik berer.

# firewall-cmd --zone=public --permanent –add-port=990/tcp
# firewall-cmd --zone=public --permanent –add-port=40000-50000/tcp
# firewall-cmd --reload

3-nji ädim: FTP serwerine ygtybarly birikmek üçin FileZilla guruň

10. FTP serwerine ygtybarly birikmek üçin size FileZilla ýaly SSL/TLS birikmelerini goldaýan FTP müşderisi gerek - SSL/TLS birikmelerini goldaýan açyk çeşme, giňden ulanylýan, platforma FTP, SFTP we FTPS müşderisi. tertip boýunça.

FileZilla-ny deslapky paket dolandyryjyňyzy ulanyp Linux-da guruň:

$ sudo apt-get install filezilla   		#Debian/Ubuntu
# yum install epel-release filezilla		#On CentOS/RHEL
# dnf install filezilla			        #Fedora 22+
$ sudo zypper install filezilla			#openSUSE

11. Filezilla bukjasy gurlansoň, ulgam menýusyndan gözläň we açyň. Esasy interfeýsden uzakdaky FTP serwerini çalt birikdirmek üçin Host IP adresini, Ulanyjy adyny we ulanyjynyň parolyny beriň. Soňra “QuickConnect” -e basyň.

12. Soňra programma, näbelli, öz-özüňe gol çekilen şahadatnamany ulanyp, ygtybarly birikmäge rugsat bermegiňizi sorar. Dowam etmek üçin OK basyň.

Serwerdäki konfigurasiýa gowy bolsa, aşakdaky skrinshotda görkezilişi ýaly birikme üstünlikli bolmaly.

13. Netijede, indiki skrinshotda görkezilişi ýaly enjamyňyzdan faýllary serwere ýüklemäge synanyşyp, FTP howpsuz birikme ýagdaýyny barlaň.

Bu hemmesi! Bu makalada, RHEL 8-de ygtybarly faýl geçirmek üçin SSL/TLS ulanyp, FTP serwerini nädip goramalydygyny görkezdik. Bu RHEL 8-de FTP serwerini gurmak, düzmek we goramak boýunça giňişleýin gollanmamyzyň ikinji bölümi. Islendik soragy paýlaşmak üçin ýa-da pikirler, aşakdaky jogap görnüşini ulanyň.