Asegure las conexiones ProfTPD utilizando el protocolo TLS/SSL en RHEL/CENTOS 7

Asegure las conexiones ProfTPD utilizando el protocolo TLS/SSL en RHEL/CENTOS 7

Por su naturaleza Ftp El protocolo fue diseñado como un protocolo inseguro y todos los datos y contraseñas se transfieren en texto plano, lo que hace que el trabajo de un tercero sea muy fácil de interceptar todas las transacciones de cliente cliente FTP, especialmente los nombres de usuario y las contraseñas utilizadas en el proceso de autenticación.

Habilitar SSL en ProfTPD en Rhel/Centos

Requisitos

  1. Instalación del servidor ProfTPD en Rhel/Centos 7
  2. Habilitar una cuenta anónima para el servidor ProfTPD en Rhel/Centos 7

Este tutorial lo guiará sobre cómo puede asegurar y encriptar Ftp comunicación sobre Profesor Servidor en Cento/Rhel 7, usando TLS (Seguridad de la capa de transporte) con extensión FTPS explícita (piense en FTPS como lo que es HTTPS para el protocolo HTTP).

Paso 1: Crear archivo de configuración del módulo TLS ProfTPD

1. Como se discutió en el tutorial de profesor anterior sobre la cuenta anónima, esta guía también utilizará el mismo enfoque para administrar los archivos de configuraciones futuras de ProfTPD como módulos, con la ayuda de habilitado_mod y desactivado_mod Directorios, que alojarán las capacidades extendidas de todos los servidores.

Entonces, cree un nuevo archivo con su editor de texto favorito llamado TLS.confusión en desactivado_mod Ruta ProfTPD y agregue las siguientes directivas.

# nano/etc/profesor/discapacitado_mod/tls.confusión 

Agregue el siguiente extracto de configuración del archivo TLS.

 TLSEngine en tlslog/var/log/profesor/tls.log tlsprotocol sslv23 tlsrsacertificateFile/etc/ssl/certs/profesor.CRT TLSRSACERTIFECEKEYFILE/ETC/SSL/Private/ProfTPD.clave #tlscacertificatefile/etc/ssl/certs/ca.Pem tlSoptions noCerTruCeest habilitado y nossessionReuseRequired tlsverifyClient Off tlsquired en tlsrenegotiate requerido en  
Crear configuración TLS

2. Si usa navegadores o clientes FTP que no admiten las conexiones TLS, comente la línea Requerido en Para permitir las conexiones TLS y no TLS al mismo tiempo y evitar el mensaje de error como en la captura de pantalla a continuación.

Permitir conexiones TLS

Paso 2: Cree archivos de certificado SSL para TLS

3. Después de haber creado el archivo de configuración del módulo TLS. que habilitará FTP sobre TLS en ProfTPD, debe generar certificado SSL y clave para usar la comunicación segura sobre el servidor ProfTPD con la ayuda de Openssl paquete.

# yum instalación OpenSSL 

Puede usar un solo comando largo para generar un certificado SSL y pares de claves, pero para simplificar las cosas puede crear un script bash simple que genere pares SSL con el nombre deseado y asignar los permisos correctos para el archivo de claves.

Crear un archivo bash llamado ProfTPD_GEN_SSL en /usr/local/bin/ o en cualquier otra ruta del sistema ejecutable (definido por $ variable).

# nano/usr/local/bin/profesor_gen_ssl 

Agregue el siguiente contenido.

#!/bin/bash echo -e "\ nlesase Ingrese un nombre para su certificado SSL y pares de claves:" Leer Nombre OpenSSL Req -x509 -Newkey RSA: 1024 \ -keyout/etc/ssl/private/$ nombre.clave -out/etc/ssl/certs/$ nombre.crt \ -nodes -days 365 \ chmod 0600/etc/ssl/private/$ nombre.llave 
Crear certificado SSL

4. Después de haber creado el archivo anterior, asignarlo con permisos de ejecución, asegúrese de que /etc/ssl/privado El directorio existe y ejecuta el script para crear un certificado SSL y pares de claves.

# CHMOD +X/USR/LOCAL/BIN/ProfTPD_GEN_SSL # mkdir -p/etc/ssl/private # profesor_gen_ssl 
Crear certificado y clave de SSL ProfTPD

Suministrar al certificado SSL con la información solicitada por sí misma, pero preste atención a Nombre común para que coincida con tu anfitrión Nombre de dominio completo - FQDN.

Paso 3: Habilite TLS en el servidor ProfTPD

5. Como el archivo de configuración de TLS creado anteriormente ya apunta al certificado SSL correcto y al archivo de clave, lo único restante es activar el módulo TLS creando un enlace simbólico de TLS.confusión archivo moderno directorio y Reanudar Daemon Proftpd para aplicar cambios.

# ln -s/etc/profesor/discapacitado_mod/tls.conf/etc/profesor/habilitado_mod/ # systemctl reiniciar profesor 
Habilitar TLS en profesor

6. Para deshabilitar el módulo TLS simplemente elimine TLS.confusión enlace simbólico de habilitado_mod directorio y reiniciar el servidor ProfTPD para aplicar cambios.

# rm/etc/profesor/habilitado_mod/tls.conf # systemCtl reiniciar profesor 

Paso 4: Abra el firewall para permitir FTP sobre la comunicación TLS

7. Para que los clientes accedan a ProfTPD y a los archivos de transferencia seguros en Modo pasivo Debe abrir todo el rango de puerto entre 1024 y 65534 en firewall rhel/centos, usando los siguientes comandos.

# firewall-cmd --add-puerto = 1024-65534/tcp # firewall-cmd --add-port = 1024-65534/tcp --Permanent # firewall-cmd --list-puers # firewall-cmd-list- Servicios # Firewall-CMD-Reload 
Permitir conexiones seguras de ProfTPD

Eso es todo. Ahora su sistema está listo para aceptar la comunicación FTP a través de TLS desde un lado del cliente.

Paso 5: Acceda a ProfTPD a través de TLS desde los clientes

8. Los navegadores web generalmente no tienen soporte incorporado para FTP sobre el protocolo TLS, por lo que todas las transacciones se entregan sobre FTP no cifrado. Uno de los clientes FTP más excelentes es Filezilla, que es completamente de código abierto y puede ejecutarse en casi todos los principales sistemas operativos.

Para acceder a FTP a través de TLS desde FileZilla Open Administrador del sitio, elegir Ftp en Protocolo y Requiere FTP explícito sobre TLS en Encriptación menú desplegable, seleccionarlo Tipo de inicio de sesión como Normal, Ingrese sus credenciales FTP y presione Conectar para comunicarse con el servidor.

Acceder a ProfTPD sobre TLS

9. Si es la primera vez que se conecta al servidor ProfTPD, debe aparecer una ventana emergente con el nuevo certificado, revisa la caja que dice Confíe siempre en el certificado para futuras sesiones y golpear DE ACUERDO para aceptar certificado y autenticar en el servidor ProfTPD.

Aceptar certificado ProfTPD Listado de directorio seguro ProfTPD

Si planea utilizar otros clientes que FileZilla para acceder de forma segura a los recursos FTP, asegúrese de que admitan FTP sobre el protocolo TLS. Algunos buenos ejemplos para clientes FTP que pueden hablar FTPS son WinsCP para plataformas de Windows y GFTP o LFTP (línea de comando) para nix.