Как настроить PureFTPd для приема TLS-сессий на Fedora 18

FTP — это очень небезопасный протокол, так как все пароли и данные передаются в открытом виде. Используя TLS, всю коммуникацию можно зашифровать, что делает FTP гораздо более безопасным. Эта статья объясняет, как настроить PureFTPd для приема TLS-сессий на сервере Fedora 18.

1 Предварительная заметка

У вас должна быть рабочая установка PureFTPd на вашем сервере Fedora 18, например, как показано в этом руководстве: Виртуальный хостинг с PureFTPd и MySQL (включая управление квотами и пропускной способностью) на Fedora 18.

2 Установка OpenSSL

OpenSSL необходим для TLS; чтобы установить OpenSSL, просто выполните:

yum install openssl

3 Настройка PureFTPd

Откройте /etc/pure-ftpd/pure-ftpd.conf…

vi /etc/pure-ftpd/pure-ftpd.conf

Если вы хотите разрешить FTP и TLS-сессии, установите TLS в 1:

| [...] # Этот параметр может принимать три значения : # 0 : отключить уровень шифрования SSL/TLS (по умолчанию). # 1 : принимать как традиционные, так и зашифрованные сессии. # 2 : отклонять подключения, которые не используют механизмы безопасности SSL/TLS, # включая анонимные сессии. # Не _разкомментируйте_ это слепо. Убедитесь, что : # 1) Ваш сервер был скомпилирован с поддержкой SSL/TLS (--with-tls), # 2) Действующий сертификат установлен, # 3) Только совместимые клиенты смогут войти. TLS 1 [...] |

Если вы хотите принимать только TLS-сессии (без FTP), установите TLS в 2:

Чтобы вообще не разрешать TLS (только FTP), установите TLS в 0:

4 Создание SSL-сертификата для TLS

Для использования TLS необходимо создать SSL-сертификат. Я создаю его в /etc/ssl/private/, поэтому сначала создаю этот каталог:

mkdir -p /etc/ssl/private/

После этого мы можем сгенерировать SSL-сертификат следующим образом:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Название страны (2 буквы) [XX]: <– Введите название вашей страны (например, “DE”).
Название штата или провинции (полное название) []: <– Введите название вашего штата или провинции.
Название населенного пункта (например, город) [Default City]: <– Введите ваш город.
Название организации (например, компания) [Default Company Ltd]: <– Введите название вашей организации (например, название вашей компании).
Название организационного подразделения (например, отдел) []: <– Введите название вашего организационного подразделения (например, “IT-отдел”).
Общее название (например, ваше имя или имя хоста вашего сервера) []: <– Введите полное доменное имя системы (например, “server1.example.com”).
Адрес электронной почты []: <– Введите ваш адрес электронной почты.

Измените права доступа к SSL-сертификату:

chmod 600 /etc/ssl/private/pure-ftpd.pem

Наконец, перезапустите PureFTPd:

systemctl restart pure-ftpd.service

Вот и все. Теперь вы можете попробовать подключиться с помощью вашего FTP-клиента; однако вам следует настроить ваш FTP-клиент для использования TLS - смотрите следующую главу, как это сделать с FileZilla.