Kategoria[1] FTP serwer [13] FTP / Samba / Poczta CentOS 8 Linux

[5] Vsftpd – SSL/TLS

2 lutego 2022 Wyłączono przez Adam [zicherka] Nogły

[1] Włącz SSL/TLS dla Vsftpd, aby korzystać z bezpiecznych połączeń FTP. Utwórz certyfikaty z podpisem własnym. Ale jeśli używasz ważnych certyfikatów, takich jak Let’s Encrypt lub innych, nie musisz tworzyć tego.

[root@vlsr01 ~]# cd /etc/pki/tls/certs/
[root@vlsr01 certs]# openssl req -x509 -nodes -newkey rsa:2048 -keyout vsftpd.pem -out vsftpd.pem -days 3650
Generating a RSA private key
................................................+++++
.................................+++++
writing new private key to 'vsftpd.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:PL
State or Province Name (full name) []:Rybnik
Locality Name (eg, city) [Default City]:Rybnik
Organization Name (eg, company) [Default Company Ltd]:zicher.NET
Organizational Unit Name (eg, section) []:zicher.lab
Common Name (eg, your name or your server's hostname) []:ftp.zicher.lab
Email Address []:root@zicher.lab

[root@vlsr01 certs]# chmod 600 vsftpd.pem

[2] Skonfiguruj Vsftpd. Najpierw jednak przeprowadź podstawową konfigurację – jak tutaj.

[root@vlsr01 certs]# mcedit /etc/vsftpd/vsftpd.conf
#dodaj na końcu pliku
rsa_cert_file=/etc/pki/tls/certs/vsftpd.pem
ssl_enable=YES
force_local_data_ssl=YES
force_local_logins_ssl=YES

[root@vlsr01 certs]# systemctl restart vsftpd

[3] Jeżeli Firewalld jest włączony, otwórz pasywne porty

[root@vlsr01 certs]# mcedit /etc/vsftpd/vsftpd.conf
#dodaj na końcu
#ustaw pasywne porty jak chcesz
pasv_enable=YES
pasv_min_port=60000
pasv_max_port=60100

[root@vlsr01 certs]# systemctl restart vsftpd

#poinformuj Firewalld o pasywnych portach
[root@vlsr01 certs]# firewall-cmd --add-port=60000-60100/tcp --permanent
[root@vlsr01 certs]# firewall-cmd –reload

[4] Klient FTP – CentOS

Skonfiguruj klienta FTP do korzystania z połączenia FTPS w CentOS. Najpierw zainstaluj klienta FTP, a następnie skonfiguruj go jak poniżej.

[user01@vlsr02 ~]$ mcedit ~/.lftprc
#stwórz nowy
set ftp:ssl-auth TLS
set ftp:ssl-force true
set ftp:ssl-protect-list yes
set ftp:ssl-protect-data yes
set ftp:ssl-protect-fxp yes
set ssl:verify-certificate no

[user01@vlsr02 ~]$ lftp -u user01 ftp.zicher.lab
Hasło:

lftp user01@ftp.zicher.lab:~>

[5] Klient FTP – Windows

W tym przykładzie użyjemy TotalCommander’a. Kliknij [Sieć] > [FTP Połączenia].

W otwartym oknie klikamy [Nowe połączenie].

W nowym oknie: zaznaczamy [SSL/TLS], wpisujemy nazwę sesji, nazwę hosta, nazwę użytkownika i następnie klikamy na [OK].

W oknie [Połącz z serwerem FTP] pokaże się wprowadzone przed chwilą nasze połączenie. Zaznaczamy go i klikamy na [Połącz].

Sprawdzamy czy certyfikat jest prawidłowy. Jeśli tak to klikamy na [Tak].

Wpisujemy hasło użytkownika i klikamy [OK].

Jesteśmy połączeni. Możemy teraz pracować na zdalnym systemie plików.