Koneksi ProfTPD Aman Menggunakan Protokol TLS/SSL pada RHEL/CENTOS 7

Berdasarkan sifatnya Ftp Protokol dirancang sebagai protokol yang tidak aman dan semua data dan kata sandi ditransfer dalam teks biasa, membuat pekerjaan pihak ketiga sangat mudah untuk mencegat semua transaksi klien-server FTP, terutama nama pengguna dan kata sandi yang digunakan dalam proses otentikasi.

Aktifkan SSL di ProfTPD di Rhel/Centos

Persyaratan

1. Menginstal Server ProfTPD di Rhel/Centos 7
2. Aktifkan Akun Anonim untuk Server ProfTPD di RHEL/CENTOS 7

Tutorial ini akan memandu Anda tentang bagaimana Anda dapat mengamankan dan mengenkripsi Ftp komunikasi di Proftpd Server di Centos/RHEL 7, menggunakan Tls (Transport Layer Security) dengan ekstensi FTPS eksplisit (pikirkan di FTPS sebagai apa HTTPS untuk protokol HTTP).

Langkah 1: Buat file konfigurasi modul TLS ProfTPD

1. Seperti yang dibahas dalam tutorial ProfTPD sebelumnya tentang akun anonim, panduan ini juga akan menggunakan pendekatan yang sama dalam mengelola file konfigurasi ProfTPD di masa depan sebagai modul, dengan bantuan enabled_mod Dan disabled_mod direktori, yang akan meng -host semua kemampuan yang diperluas server.

Jadi, buat file baru dengan editor teks favorit Anda bernama tls.conf di dalam disabled_mod Jalur ProfTPD dan tambahkan arahan berikut.

# nano/etc/proftpd/disabled_mod/tls.conf 

Tambahkan Kutipan Konfigurasi File TLS berikut.

 TLSEngine di TLSLOG/VAR/LOG/PROFTPD/TLS.log tlsprotocol sslv23 tlsrsacertificateFile/etc/ssl/certs/proftpd.crt tlsrsacertificateKeyFile/etc/ssl/private/proftpd.Kunci #tlScacertificateFile/etc/ssl/sertifikat/ca.PEM TLSOPTIONS NOCERTREQUEST Enablediags nosessionreuserequired tlsverifyclient off tlsequired on tlsrenegotiate diperlukan pada  

Buat konfigurasi TLS

2. Jika Anda menggunakan browser atau klien FTP yang tidak mendukung koneksi TLS, komentari salurannya TLSequired on Untuk mengizinkan koneksi TLS dan non-TLS pada waktu yang sama dan hindari pesan kesalahan seperti pada tangkapan layar di bawah ini.

Izinkan koneksi TLS

Langkah 2: Buat file sertifikat SSL untuk TLS

3. Setelah Anda membuat file konfigurasi modul TLS. Itu akan memungkinkan FTP melalui TLS di ProfTPD, Anda perlu menghasilkan sertifikat dan kunci SSL untuk menggunakan komunikasi yang aman melalui server ProfTPD dengan bantuan Openssl kemasan.

# yum install openssl 

Anda dapat menggunakan perintah panjang tunggal untuk menghasilkan sertifikat SSL dan pasangan kunci, tetapi untuk menyederhanakan hal -hal Anda dapat membuat skrip bash sederhana yang akan menghasilkan pasangan SSL dengan nama yang Anda inginkan dan tetapkan izin yang benar untuk file kunci.

Buat file bash bernama proftpd_gen_ssl pada /usr/lokal/bin/ atau di jalur sistem yang dapat dieksekusi lainnya (ditentukan oleh $ Path variabel).

# nano/usr/local/bin/proftpd_gen_ssl 

Tambahkan konten berikut ke dalamnya.

#!/bin/bash echo -e "\ nPlease masukkan nama untuk sertifikat SSL Anda dan pasangan kunci:" Baca nama openssl req -x509 -NewKey RSA: 1024 \ -keyout/etc/ssl/private/$ name.kunci -out/etc/ssl/certs/$ name.crt \ -nodes -days 365 \ chmod 0600/etc/ssl/private/$ name.kunci 

Buat Sertifikat SSL

4. Setelah Anda membuat file di atas, tetapkan dengan izin eksekusi, yakinkan itu /etc/ssl/pribadi Direktori ada dan jalankan skrip untuk membuat sertifikat SSL dan pasangan kunci.

# chmod +x/usr/local/bin/proftpd_gen_ssl # mkdir -p/etc/ssl/private # proftpd_gen_ssl 

Buat Sertifikat dan Kunci SSL ProfTPD

Menyediakan sertifikat SSL dengan informasi yang diminta yang diperlukan yang cukup jelas, tetapi perhatikan Nama yang umum untuk mencocokkan tuan rumah Anda Nama domain yang sepenuhnya memenuhi syarat - Fqdn.

Langkah 3: Aktifkan TLS di Server ProfTPD

5. Karena file konfigurasi TLS yang dibuat sebelumnya sudah menunjuk ke sertifikat SSL kanan dan file kunci, satu -satunya hal yang tersisa adalah untuk mengaktifkan modul TLS dengan membuat a tautan simbolik dari tls.conf file ke Mod yang diaktifkan direktori dan mengulang kembali Daemon ProfTPD untuk menerapkan perubahan.

# ln -s/etc/proftpd/disabled_mod/tls.conf/etc/proftpd/enabled_mod/ # systemctL restart proftpd 

Aktifkan TLS di ProfTPD

6. Untuk menonaktifkan modul TLS cukup hapus tls.conf symlink dari enabled_mod direktori dan restart server proftpd untuk menerapkan perubahan.

# rm/etc/proftpd/enabled_mod/tls.conf # systemctl restart proftpd 

Langkah 4: Buka Firewall untuk memungkinkan FTP melalui komunikasi TLS

7. Agar klien dapat mengakses ProfTPD dan mengamankan file transfer di Mode pasif Anda harus membuka seluruh rentang port antara 1024 Dan 65534 di firewall rhel/centos, menggunakan perintah berikut.

# firewall-cmd --add-port = 1024-65534/tcp # firewall-cmd --add-port = 1024-65534/tcp --permanent # firewall-cmd-list-ports # firewall-cmd-list-- Layanan # firewall-cmd --eload 

Izinkan Koneksi Aman ProfTPD

Itu dia. Sekarang sistem Anda siap menerima komunikasi FTP melalui TLS dari sisi klien.

Langkah 5: Akses proftpd lebih dari TLS dari klien

8. Browser web biasanya tidak memiliki dukungan bawaan untuk FTP atas protokol TLS, jadi semua transaksi dikirimkan melalui FTP yang tidak terenkripsi. Salah satu klien FTP yang paling baik adalah FileZilla, yang sepenuhnya open source dan dapat berjalan di hampir semua sistem operasi utama.

Untuk mengakses FTP melalui TLS dari FileZilla Open Manajer situs, memilih Ftp pada Protokol Dan Membutuhkan FTP eksplisit lebih dari TLS pada Enkripsi menu tarik-turun, pilih Anda Jenis Logon sebagai Normal, Masukkan kredensial FTP Anda dan tekan Menghubung untuk berkomunikasi dengan server.

Akses proftpd lebih dari tls

9. Jika ini pertama kalinya Anda terhubung ke server ProfTPD, sembulan dengan sertifikat baru akan muncul, centang kotaknya yang mengatakan Selalu percaya sertifikat untuk sesi mendatang dan menabrak OKE untuk menerima sertifikat dan mengotentikasi ke server proftpd.

Terima Sertifikat ProfTPD Proftpd Secure Directory Listing

Jika Anda berencana menggunakan klien lain daripada FileZilla untuk mengakses sumber daya FTP dengan aman, pastikan mereka mendukung FTP melalui protokol TLS. Beberapa contoh yang baik untuk klien FTP yang dapat berbicara FTP adalah winscp untuk platform windows dan gftp atau Lftp (baris perintah) untuk nix.