PureFTPd konfigūravimas TLS sesijoms CentOS OS aplinkoje

IV_VygandasS

Šioje trumpoje pamokoje sukonfigūruosime PureFTPd tarnyba taip, kad ji priimtų inicijuojamus TLS susijungimus.
FTP yra pakankamai nesaugus protokolas atsižvelgiant į tai jog visi siunčiami duomenys yra perduodami neužšifruoti. Naudojant TLS visas bendravimas tarp FTP tarnybos ir kliento bus užšifruotas.

0. Prieš naudojantis šioje pamokoje pateikta informacija yra svarbu, jog Jūsų serveryje veiktų PureFTPd tarnyba CentOS OS aplinkoje. Pamoka kaip įsidiegti PureFTPd tarnybą CentOS OS aplinkoje ir ją administruoti rasite šioje mūsų forumo temoje: PureFTPd susieto su MySQL įdiegimas CentOS OS aplinkoje.

1. Įdiegiame OpenSSL, kuris bus reikalingas TLS palaikymui:

yum install openssl

2. Redaguojame /etc/pure-ftpd/pure-ftpd.conf konfigūracinį failą:

vi /etc/pure-ftpd/pure-ftpd.conf

Jeigu norite leisti FTP ir TLS susijungimus, nustatykite TLS parametro vertę į 1:

[...]
# This option can accept three values :
# 0 : disable SSL/TLS encryption layer (default).
# 1 : accept both traditional and encrypted sessions.
# 2 : refuse connections that don't use SSL/TLS security mechanisms,
#     including anonymous sessions.
# Do _not_ uncomment this blindly. Be sure that :
# 1) Your server has been compiled with SSL/TLS support (--with-tls),
# 2) A valid certificate is in place,
# 3) Only compatible clients will log in.

TLS                      1
[...]

Jeigu norite leisti tik TLS susijungimus (neleisti FTP susijungimų visiškai), nustatykite TLS parametro vertę į 2:

[...]
# This option can accept three values :
# 0 : disable SSL/TLS encryption layer (default).
# 1 : accept both traditional and encrypted sessions.
# 2 : refuse connections that don't use SSL/TLS security mechanisms,
#     including anonymous sessions.
# Do _not_ uncomment this blindly. Be sure that :
# 1) Your server has been compiled with SSL/TLS support (--with-tls),
# 2) A valid certificate is in place,
# 3) Only compatible clients will log in.

TLS                      2
[...]

Jeigu norite leisti tik FTP susijungimus (neleisti TLS susijungimų visiškai), nustatykite TLS parametro vertę į 0:

[...]
# This option can accept three values :
# 0 : disable SSL/TLS encryption layer (default).
# 1 : accept both traditional and encrypted sessions.
# 2 : refuse connections that don't use SSL/TLS security mechanisms,
#     including anonymous sessions.
# Do _not_ uncomment this blindly. Be sure that :
# 1) Your server has been compiled with SSL/TLS support (--with-tls),
# 2) A valid certificate is in place,
# 3) Only compatible clients will log in.

TLS                      0
[...]

4. Norint įgalinti TLS palaikymą, mes privalome sukurti SSL sertifikatą. Šioje pamokoje sertifikatas bus sukurtas /etc/ssl/private/ kataloge, todėl pradžiai sukuriame šį katalogą:

mkdir -p /etc/ssl/private/

Sugeneruojame SSL sertifikatą:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Country Name (2 letter code) [XX]: [U]<-- Įvedame mūsų šalies pavadinimo trumpinį (pvz., "LT").[/U]
State or Province Name (full name) []: [U]<-- Įvedame mūsų regioną.[/U]
Locality Name (eg, city) [Default City]: [U]<-- Įvedame mūsų miestą.[/U]
Organization Name (eg, company) [Default Company Ltd]: [U]<-- Įvedame organizacijos pavadinimą.[/U]
Organizational Unit Name (eg, section) []: [U]<-- Įvedame mūsų organizacijos padalinio pavadinimą (pvz.: "IT departamentas").[/U]
Common Name (eg, your name or your server's hostname) []: [U]<-- Įvedame mūsų pilną domeną (pvz.: "mūsų_serveris.lt").[/U]
Email Address []: [U]<-- Įvedame mūsų el. pašto adresą.[/U]

5. Nustatome SSL sertifikato teises:

chmod 600 /etc/ssl/private/pure-ftpd.pem

6. Perkrauname PureFTPd:

/etc/init.d/pure-ftpd restart

Rezultatas: FTP tarnybos konfigūravimas baigtas, dabar galime mėginti prisijungti prie mūsų FTP serverio su TLS naudojant FileZilla FTP klientą.

7. Paleidus FileZilla pasirenkame "Open the Site Manager".

8. Naujai atsidariusiame lange "Site Manager" pasirenkame "New Site" įvedame FTP serverio ir norimo naudotojo duomenis ir ties eilute "Server Type:" pasirenkame "FTPES: FTP over explicit TLS/SSL".

9. Pasirinkus "Connect" iššokusioje lentelėje "Unknow Ceritificate" pasirenkame "Ok".