VSFTPD
FTP server s podporou SSL
V dnešní době je samozřejmostí, že většina aplikací používá šifrovanou komunikaci a tak není žádným překvapením, že i vsftpd podporuje protokol SSL respektive TLS, který je dnes upřednostňován. V CentOSu máme ušetřenou práci tím, že RPM balíček v něm obsažený je již kompilován s podporou SSL.
Pro soukromé účely obvykle stačí použít sám sebou ("self signed") podepsaný certifikát, případně certifikát podepsaný vlastní certifikační autoritou. Pro komerční použití je vhodné mít certifikát podepsaný nějakou veřejnou (důvěryhodnou) certifikační autoritou.
Self signed certifikát
Sám sebou podepsaný certifikát (s platností na 10 let) vyrobíme následujícím příkazem:
openssl req -x509 -nodes -days 3650 -newkey rsa:2048 \ -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pem
V souboru /etc/vsftpd/vsftpd.pem nalezneme jak soukromý klíč, tak
samotný certifikát. Parametr -nodes nám zajistí, že nebude
privátní klíč zaheslován. Pokud pro zvýšení bezpečnosti tento parametr
vynecháte, tak to pro vás bude znamenat, že toto zadané heslo privátního klíče
budete muset při
každém restartu démona vsftpd nebo při restartu serveru znovu zadat, což
obvykle vyžaduje být přímo u konzole serveru. Parametr
-days 3650 znamená dobu platnosti certifikátu.
Je dobré nastavit bezpečná práva na tomto souboru s certifikátem, tedy:
chmod 600 /etc/vsftpd/vsftpd.pem
Sám sebou podepsaný certifikát není úplně plnohodnotný a k tomu se staví i
některé klientské aplikace. Například linuxový klient gftp se odmítne se
serverem vsftpd spojit dokud v jeho konfiguraci (gftp) nevypneme
defaultní volbu "Verify SSL Peer". Toto nám však pomůže jen na přihlášení
přes šifrovaný protokol, pokud bychom chtěli i data posílat šifrovaně
(direktiva force_local_data_ssl=YES), tak se nám to nepovede
a komunikace skončí s chybou:
Invalid response '5' received from server.
Pro podporu SSL nebo lépe TLS ve vsftpd nám stačí přidat do konfiguračního souboru tyto direktivy:
ssl_enable=YES ssl_tlsv1=YES rsa_cert_file=/etc/vsftpd/vsftpd.pem force_local_logins_ssl=YES force_local_data_ssl=NO
Volba ssl_tlsv1=YES je defaultně zapnutá a je zde uvedena jen
pro informaci. rsa_cert_file nastavuje cestu k souboru
s certifikátem. Volba force_local_logins_ssl=YES zařídí, že heslo
pro lokální uživatele je vždy posláno přes SSL. Díky volbě
force_local_data_ssl=NO budou data přenášena nešifrovaně
a to z důvodů, které jsem v souvislosti s klientem gftp popsal výše.
Certifikát podepsaný vlastní certifikační autoritou
Nejprve si vytvoříme vlastní certifikační autoritu. V CentOSu budeme mít práci
zase trochu ulehčenou díky tomu, že součástí RPM balíčku openssl jsou i skripty
připravené na generování certifikátů. Tyto skripty se nacházeji v adresáři
/usr/share/ssl a nás bude zajímat podadresář misc
do kterého přejdeme.
Ještě před samotným generováním certifikační autority si můžete upravit
konfigurační soubor /usr/share/ssl/openssl.cnf a nastavit si zde
především níže uvedené direktivy, což ušetří čas při generování dalších
certifikátů.
countryName_default = CZ stateOrProvinceName_default = Stredocesky kraj localityName_default = Prague 0.organizationName_default = Tachec organizationalUnitName_default = admin
Vlastní certifikační autoritu vytvoříme následujícím příkazem:
cd /usr/share/ssl/misc ./CA -newca
Zadáme heslo a vyplníme všechna potřebná pole. Pole Common Name
není v tomto případě nijak důležité, takže jej nemusíte vyplňovat. Certifikační autoritu a další věci nalezneme v podadresáři demoCA.
Druhým krokem bude vytvořit žádost o podepsání certifikátu - certifikační
žádost (certificate signing request). Pokud chcete mít certifikát podepsaný
nějakou veřejnou certifikační autoritou, tak můžete tuto vygenerovanou
žádost dané autoritě předat spolu s vašimi údaji, které si ověří a za poplatek
vám vytvoří podepsaný certifikát. Nám postačí, že si certifikační žádost
podepíšeme naší výše vytvořenou certifikační autoritou. Ještě před
vygenerováním certifikační žádosti je dobré udělat pár úprav ve skriptu
CA. Proměnnou DAYS="-days 365" je dobré změnit na
DAYS="-days 3650", tzn. dobu platnosti certifikátu zvednout
na 10 let. A pokud nechceme heslem zašifrovat soukromý klíč, což by znamenalo
při každém restartu serveru nebo démona vsftpd toto heslo uvést, tak si
změníme řádek:
$REQ -new -keyout newreq.pem -out newreq.pem $DAYS
na
$REQ -new -nodes -keyout newreq.pem -out newreq.pem $DAYS
Certifikační žádost pak můžeme vytvořit následujícím způsobem:
./CA -newreq
Pozor, zde již musíme vyplnit pole Common Name a mělo by
odpovídat názvu našeho počítače (včetně domény). Žádost o certifikát i
soukromý klíč nalezneme v souboru newreq.pem.
Posledním krokem je podepsání certifikační žádosti naší certifikační autoritou, což se provede následovně:
./CA -sign
Budete vyzvání k zadání hesla, což je heslo, které jsme nastavovali při
generování certifikační autority a po potvrzení údajů máme hotovo. Certifikát
nalezneme v souboru newcert.pem.
Informace v certifikátu si můžeme ověřit tímto příkazem:
openssl x509 -in certs/server.crt -noout -text
A to zda je certifkát validní pro autentizaci serveru ověříme jedním z níže uvedených příkazů:
./CA -verify openssl verify -purpose sslserver -CAfile demoCA/cacert.pem newcert.pem
VSFTPD vyžaduje, aby byl soukromý klíč a certifikát v jednom souboru, takže budeme muset udělat ještě drobné úpravy. Soukromý klíč máme v certifikační žádosti a můžeme si jej dát do samostatného souboru a to takto:
openssl rsa -in newreq.pem -out server.key
Následně spojíme tento soukromý klíč s certifikátem:
cat newcert.pem server.key > vsftpd-cert-key.pem
A zbytek už je jednoduchý, stačí certifikát s klíčem nakopírovat například
do adresáře /etc/vsftpd/vsftpd-cert-key.pem a nastavit příslušná
práva.
chmod 600 /etc/vsftpd/vsftpd-cert-key.pem
Nezapomeňte také po sobě uklidit v adresáři, kde jste si generovali dané věci a nastavit práva tak, aby dané soubory nemohl nikdo zneužít.
Samotná konfigurace VSFTPD je stejná jako při self signed certifikátu, tedy:
ssl_enable=YES ssl_tlsv1=YES rsa_cert_file=/etc/vsftpd/vsftpd-cert-key.pem force_local_logins_ssl=YES force_local_data_ssl=YES
Volby force_local_logins_ssl=YES,
force_local_data_ssl=YES a ssl_tlsv1=YES jsem uvedl
jen pro informaci, jsou nastaveny defautně na YES a proto není
potřeba je v konfiguračním souboru uvádět.