Kategoria[1] FTP serwer [13] FTP / Samba / Poczta CentOS 8 Linux

[7] ProFTPD – SSL/TLS

2 lutego 2022 Wyłączono przez Adam [zicherka] Nogły

Włącz SSL/TLS dla ProFTPD, aby korzystać z bezpiecznych połączeń FTP.

[1] Utwórz certyfikaty z podpisem własnym. Ale jeśli używasz ważnych certyfikatów, takich jak Let’s Encrypt lub innych, nie musisz tworzyć poniższych.

[root@vlsr01 ~]# cd /etc/pki/tls/certs/
[root@vlsr01 certs]# openssl req -x509 -nodes -newkey rsa:2048 -keyout proftpd.pem -out proftpd.pem -days 3650
Generating a RSA private key
.......................+++++
.............+++++
writing new private key to 'proftpd.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:PL
State or Province Name (full name) []:Rybnik
Locality Name (eg, city) [Default City]:Rybnik
Organization Name (eg, company) [Default Company Ltd]:zicherNET
Organizational Unit Name (eg, section) []:zicher.lab
Common Name (eg, your name or your server's hostname) []:ftp.zicher.lab
Email Address []:root@zicher.lab

[root@vlsr01 certs]# chmod 600 proftpd.pem

[2] Skonfiguruj ProFTPD. Jednak najpierw przeprowadź podstawową konfigurację.

[root@vlsr01 ~]# mcedit /etc/sysconfig/proftpd
#dodaj opcję TLS
PROFTPD_OPTIONS="-DTLS"

[root@vlsr01 ~]# mcedit /etc/proftpd/mod_tls.conf
<IfModule mod_tls.c>
  TLSEngine                     on
#zmień jeśli potrzebujesz TLS
  TLSRequired                   on
#zakomentuj
#  TLSCertificateChainFile      /etc/pki/tls/certs/proftpd-chain.pem
#zmień na utworzone wcześniej certyfikaty
  TLSRSACertificateFile         /etc/pki/tls/certs/proftpd.pem
  TLSRSACertificateKeyFile      /etc/pki/tls/certs/proftpd.pem
  TLSCipherSuite                PROFILE=SYSTEM
  TLSOptions                    NoSessionReuseRequired
  TLSLog                        /var/log/proftpd/tls.log
  <IfModule mod_tls_shmcache.c>
    TLSSessionCache             shm:/file=/run/proftpd/sesscache
  </IfModule>
</IfModule>

[root@vlsr01 ~]# systemctl restart proftpd

[3] Jeśli Firewalld pracuje, skonfiguruj pasywne porty w ProFTPD oraz otwórz je w Firewalld.

[root@vlsr01 ~]# mcedit /etc/proftpd.conf
#dodaj na końcu pliku
#ustaw zakres pasywnych portow jaki chcesz
PassivePorts                     60000 60100

[root@vlsr01 ~]# systemctl restart proftpd

[root@vlsr01 ~]# firewall-cmd --add-port=60000-60100/tcp --permanent
[root@vlsr01 ~]# firewall-cmd --reload

[4] Klient FTP – CentOS

Skonfiguruj klienta FTP do korzystania z połączenia FTPS w CentOS. Najpierw zainstaluj klienta FTP, a następnie skonfiguruj go jak poniżej.

[user01@vlsr02 ~]$ mcedit ~/.lftprc
#stwórz nowy
set ftp:ssl-auth TLS
set ftp:ssl-force true
set ftp:ssl-protect-list yes
set ftp:ssl-protect-data yes
set ftp:ssl-protect-fxp yes
set ssl:verify-certificate no

[user01@vlsr02 ~]$ lftp -u user01 ftp.zicher.lab
Hasło:

lftp user01@ftp.zicher.lab:~>

[5] Klient FTP – Windows

W tym przykładzie użyjemy TotalCommander’a. Kliknij [Sieć] > [FTP Połączenia].

W otwartym oknie klikamy [Nowe połączenie].

W nowym oknie: zaznaczamy [SSL/TLS], wpisujemy nazwę sesji, nazwę hosta, nazwę użytkownika i następnie klikamy na [OK].

W oknie [Połącz z serwerem FTP] pokaże się wprowadzone przed chwilą nasze połączenie. Zaznaczamy go i klikamy na [Połącz].

Sprawdzamy czy certyfikat jest prawidłowy. Jeśli tak to klikamy na [Tak].

Wpisujemy hasło użytkownika i klikamy [OK].

Jesteśmy połączeni. Możemy teraz pracować na zdalnym systemie plików.