|
||||||||||||||||||||||||||||||||||||||||||||||||
Menu
Distributions (131)
Software (10844)
|
FTP Server s podporou TLS II.Rozšíření serveru vsftpd o podporu zabezpečené komunikace pomocí SSL/TLS.
ÚvodemStejné rozhodnutí, které vedlo Martina Průšu k uvedení druhého povídání o FTP serverech (ohlas čtenářů, kteří využívají spíše server vsftpd než server ProFTPD), vedlo i mě k jeho následnému doplnění. I v tomto případě se budu snažit doplnit informace vedoucí k podpoře zabezpečené komunikace pomocí SSL/TLS. Podpora šifrovaného spojeníJak víme, u serveru ProFTPD je problematika šifrování řešena pomocí kompilace modulu, napsaného třetí stranou. Vsftpd server jde jinou cestou. Jeho podpora ssl/tls je přímo v "jádře". Nicméně i tady je potřeba před kompilací provést patřičné úpravy. Na příslušné stránce projektu si stáhneme balík se zdrojovými soubory, rozbalíme a nahlédneme do souboru Jak konfigurovat před instalacíJak sami pochopíte velice rychle, v souboru uvedeném výše najdete potřebnou informaci o nastavení parametrů nutných pro aktivaci potřebné podpory. Jde prakticky o zásah do souboru (poznámka – v rootu rozbaleného balíku se zdrojovými kódy naleznete script se jménem
Proběhlo-li vše v pořádku a v rootu zdrojových souborů serveru se nam objeví binárka vsftpd, pak byla kompilace úspěšná. (poznámka – Ti, kteří se přiklonili k instalaci pomocí některého z balíčkovacích systémů (rpm, apt …), tak i ti co využili možnost kompilace, mohou využít příkazu
a jeho výstup: # … # libssl.so. … => cesta ke knihovně # … a s ním by měl ukázat i výpis dalšíh, použitých knihoven. OK, je-li vše jak má být, můžeme zadat příkaz:
a začít s potřebnou konfigurací. KonfiguraceProtože se jedná pouze o doplnění informací, nebudu zde opisovat to co už jiní napsali. Zaměřím se jen na konfiguraci ssl/tls. Doplněním několika direktiv zařídíme přesně to o co nám jde. Takže, první direktivou v souboru
asi je zbytečné psát proč je první a k čemu nám slouží. Druhou direktivou kterou doplníme do našeho konfiguračního souboru bude:
ani tady není co vysvětlovat. Direktiva zakáže všem anonymním požadavkům o spojení použít zabezpečený kanál. Další velice vhodnou direktivou bude:
ta nám zařídí, aby každé non-anonymous spojení (a jeho požadavek o login) byli prováděny přes zabezpečený kanál a direktivou:
rozhodneme, zda-li přenášená data budou rovněž posílána zabezpečeným kanálem či nikoliv. Stejně důležitá je pak i direktiva umožňující využít buď šifrování pomocí ssl nebo tls. Zasvěcení do tématu ví, že šifrovat pomocí ssl se dnes nedoporučuje, a proto ačkoliv bez vysvětlení (které se hodí spíše do tématu ssl vs. tls) doporučím toto složení direktiv: ssl_sslv2=NO ssl_sslvš=NO ssl_tlsv1=YES Poslední direktivu, kterou doplníme do konfiguračního souboru bude cesta k souboru s certifikátem. Využít můžeme opět varianty rsa nebo dsa. Pro každou z nich použijeme tuto direktivu: dsa_cert_file=cesta k souboru s certifikátem rsa_cert_file=cesta k souboru s certifikátem Tím jsme využili hlavních možností konfigurace ssl/tls. Nyní stačí pustit server a pomocí klienta umožňujícího šifrované spojení, konfiguraci otestovat. (poznámka – samozřejmě před spuštěním serveru je ještě potřeba patřičný certifikát vygenerovat.) Certifikát vygenerujeme příkazem:
Test spojeníV prvním povídání o zabezpečeném FTP jsem neuvedl jednoho klienta, který rovněž využívá možnosti šifrovaného spojení. Jde o klienta gftp. Ukážeme si stručně jak klienta nastavit a otestovat spojení. Prvním krokem ke správnému spojení je zrušení verifikace certifikátu (Verify SSL Peer viz obrázek č.1). Pokud tak neučiníte, gftp klient zjistí, že certifikát je typu "self-signed" a spojení se serverem se neuskuteční (viz obrázek č.2). Rovněž se vám nepovede se na server připojit, v případě, že mate direktivu (poznámka – Určitě si někteří všimli, že se připojuji pod uživatelem ZávěremVsftpd je dle mnohých rychlejší a bezpečnější než ostatní servery (ProFTPD či WuFTPD). Toto rozhodnutí nechám stejně jako Martin na každém z vás. Každému sedne něco jiného a každý se setká s jinými zkušenostmi. Nicméně, jakékoliv zkušenosti s nasazením zabezpečených ftp kanálů do praxe napište, stejně jako v případě chyb, které se při použití objeví. Nejsem vševědoucí, ale pokud budu moci jakkoli pomoci, pokusím se. Odkazy
|
Search Software
Search Google
|
||||||||||||||||||||||||||||||||||||||||||||||
©Pavel Kysilka - 2003-2024 | maillinuxsoft.cz | Design: www.megadesign.cz |