So konfigurieren Sie PureFTPd, um TLS-Sitzungen auf Debian zu akzeptieren

FTP ist ein sehr unsicheres Protokoll, da alle Passwörter und Daten im Klartext übertragen werden. Durch die Verwendung von TLS kann die gesamte Kommunikation verschlüsselt werden, wodurch FTP viel sicherer wird. Dieser Artikel erklärt, wie man PureFTPd konfiguriert, um TLS-Sitzungen auf einem Debian-Server zu akzeptieren. Dieses Tutorial ist mit allen Debian-Versionen bis Debian 12 (Bookworm) kompatibel.

1 Vorbemerkung

Sie sollten eine funktionierende PureFTPd-Installation auf Ihrem Debian-Server haben, z.B. wie in diesem Tutorial gezeigt: Virtuelles Hosting mit PureFTPd und MySQL (inkl. Quota- und Bandbreitenmanagement) auf Debian Lenny.

2 OpenSSL installieren

OpenSSL wird von TLS benötigt; um OpenSSL zu installieren, führen wir einfach aus:

apt install openssl

3 PureFTPd konfigurieren

Wenn Sie FTP und TLS-Sitzungen zulassen möchten, führen Sie aus

echo 1 > /etc/pure-ftpd/conf/TLS

Wenn Sie nur TLS-Sitzungen akzeptieren möchten (kein FTP), führen Sie stattdessen aus

echo 2 > /etc/pure-ftpd/conf/TLS

Um TLS überhaupt nicht zuzulassen (nur FTP), löschen Sie entweder /etc/pure-ftpd/conf/TLS oder führen Sie aus

echo 0 > /etc/pure-ftpd/conf/TLS

4 Erstellen des SSL-Zertifikats für TLS

Um TLS zu verwenden, müssen wir ein SSL-Zertifikat erstellen. Ich erstelle es in /etc/ssl/private/, daher erstelle ich zuerst dieses Verzeichnis:

mkdir -p /etc/ssl/private/

Anschließend können wir das SSL-Zertifikat wie folgt generieren:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Landname (2-Buchstaben-Code) [AU]: <– Geben Sie Ihren Landnamen ein (z.B. “DE”).
Bundesland oder Provinzname (vollständiger Name) [Some-State]: <– Geben Sie den Namen Ihres Bundeslandes oder Ihrer Provinz ein.
Ortsname (z.B. Stadt) []: <– Geben Sie Ihre Stadt ein.
Organisationsname (z.B. Firma) [Internet Widgits Pty Ltd]: <– Geben Sie den Namen Ihrer Organisation ein (z.B. den Namen Ihres Unternehmens).
Name der organisatorischen Einheit (z.B. Abteilung) []: <– Geben Sie den Namen Ihrer organisatorischen Einheit ein (z.B. “IT-Abteilung”).
Allgemeiner Name (z.B. IHR Name) []: <– Geben Sie den vollqualifizierten Domainnamen des Systems ein (z.B. “server1.example.com”).
E-Mail-Adresse []: <– Geben Sie Ihre E-Mail-Adresse ein.

Ändern Sie die Berechtigungen des SSL-Zertifikats:

chmod 600 /etc/ssl/private/pure-ftpd.pem

Starten Sie schließlich PureFTPd neu:

service pure-ftpd-mysql restart

Das war’s. Sie können jetzt versuchen, sich mit Ihrem FTP-Client zu verbinden; Sie sollten jedoch Ihren FTP-Client so konfigurieren, dass er TLS verwendet - siehe das nächste Kapitel, wie Sie dies mit FileZilla tun.