Bằng cách sử dụng cùng với TLs toàn bộ quá trình truyền tin được mã hóa giúp cho dịch vụ FTP được bảo mật hơn. Bài viết sau đây sẽ giới thiệu cách thiết lập vsftpd cùng TLS trong Debian Squeeze.
1. Điều kiện để thực hiện bài viết
Trong bài viết sử dụng hostname: server1.example.com với địa chỉ IP là 192.168.0.100 (việc thiết lập này chỉ sử dụng cho bài viết, khi thực hiện các bạn có thể thay đổi theo hostname và địa chỉ Ip do bạn tự thiết lập)
2. Cài đặt vsftpd và OpenSSL
Mở OpenSSL cần TLS và cài đặt vsftpd và OpenSSL bằng câu lệnh sau
apt-get install vsftpd openssl
3. Cài đặt chứng thực SSL cho TLS
Để sử dụng TLS phải tạo ra chứng thực SSL trong /etc/ssl/private nếu thư mục không có cần phải tạo thư mục với câu lệnh sau:
mkdir -p /etc/ssl/private
chmod 700 /etc/ssl/private
Sau đó, chúng ta có thể sinh chứng thực SSL như sau:
openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem
Country Name (2 letter code) [AU]: <--Nhập tên mã nướcvới chiểu dài 2 ký tự (ví dụ “VN”).
State or Province Name (full name) [Some-State]: <-- Nhập vùng hoặc nơi bạn ở.
Locality Name (eg, city) []: <-- Nhập tên thành phố
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- Nhập tên tổ chức (ví dụ tên công ty của bạn).
Organizational Unit Name (eg, section) []: <-- Nhập đơn vị của bạn trực thuộc (ví dụ "Phòng IT").
Common Name (eg, YOUR name) []: <-- Nhập tên miền (ví dụ tapchibcvt.gov.vn)
Email Address []: <-- Nhập địa chỉ email
4. Cho phép TLs trong vsftpd
Để cho phép TLS trong phần mềm vsftpd mở /etc/vsftpd.conf... bằng cách sử dụng lênh vi:
vi /etc/vsftpd.conf
... và thêm, thay đổi theo bảng dưới:
[...] # Turn on SSL # Allow anonymous users to use secured SSL connections # All non-anonymous logins are forced to use a secure SSL connection in order to # send and receive data on data connections. # All non-anonymous logins are forced to use a secure SSL connection in order to send the password. # Permit TLS v1 protocol connections. TLS v1 connections are preferred # Permit SSL v2 protocol connections. TLS v1 connections are preferred # permit SSL v3 protocol connections. TLS v1 connections are preferred # Disable SSL session reuse (required by WinSCP) # Select which SSL ciphers vsftpd will allow for encrypted SSL connections (required by FileZilla) # This option specifies the location of the RSA certificate to use for SSL # encrypted connections. /etc/ssl/private/vsftpd.pem [...] |
Nếu cấu hình sử dụng và thì chỉ kết nối TLS mới được thực hiện (ngoài ra sẽ khóa bất kì người dùng sử dụng FTP client phiên bản cũ không hỗ trợ kết nối TLS)
Nếu cấu hình sử dụng và , cả các kết nối TLS và các kết nối không hỗ trợ TLs đều được phép thực hiện nó chỉ phụ thuộc vào ứng dụng FTP Client do người dùng sử dụng.
Để cho phép người dùng không nặc danh đăng nhập phải thiết lập trong tùy chọn kết nối TLS như sau (bảng dưới là phần trích ra từ bảng trên) tại file vsftpd.conf:
[...] # Uncomment this to allow local users to log in. # # Uncomment this to enable any form of FTP write command. # # Default umask for local users is 077. You may wish to change this to 022, # if your users expect that (022 is used by most other ftpd's) [...] # You may restrict local users to their home directories.See the FAQ for # the possible risks in this before using chroot_local_user or # chroot_list_enable below. [...] |
Khởi động lại vsftpd:
/etc/init.d/vsftpd restart
Bây giờ thử kết nối sử dụng ứng dùng FTP Client tại máy của người dùng với thiết lập và để sử dụng kết nối TLS.
5. Cấu hình FileZilla cho TLS
Để sử dụng FTP với kết nối TLS, FTP Client tại máy tính của người dùng phải hỗ trợ TLS giống như ứng dụng FileZilla. Trong FileZilla mở Server Manager:
Chọn máy chủ sử dụng vsftpd với kết nối TLS, trong Server Type chọn FTPES thay cho chế độ mặc định của FTP:
Bây giờ có thể kết nối tới máy chủ. Nếu kết nối lần đầu tiên sẽ được cấp một chứng thực SSL do máy chủ cấp phát:
Nếu quá trình thực hiện trên hoạt động tốt, bạn có thể đăng nhập vào trong máy chủ:
Hồng Khánh
