Vienas saugiausių ir tradicinių prisijungimo būdų bet kurioje organizacijoje yra FTP (failų perdavimo protokolas), leidžiantis perkelti failus iš vieno kompiuterio į kitą TCP tinkle.
Jos dizainas pagrįstas kliento-serverio architektūra, su kuria galima naudoti kliento kompiuterį, iš kurio galime prisijungti prie serverio, kad iš jo būtų galima atsisiųsti failus arba siųsti failus, neatsižvelgiant į operacinę sistemą, naudojamą kiekviename kompiuteryje, iš ten plačiai priimtas šis protokolas.
Viena iš paslaugų, kurią turime, norėdami dar labiau apsaugoti FTP ryšį, yra „ProFTPD“, kurią šiandien analizuosime „CentOS 7“.
Kas yra ProFTPD„ProFTPD“ iš esmės yra labai sukonfigūruojama GPL licencijuota FTP serverio programinė įranga, kuri patenkina ryšio lūkesčius bet kurioje svetainėje. „ProFTPD“ sukurtas nuo nulio, todėl jis nenaudoja kitos kopijos ir tai suteikia mums galimybę sukonfigūruoti daugybę jo vykdymo parinkčių.
ProFTPD„ProFTPD“ galima integruotai paleisti šiose platformose:
- AIX
- BSD / OS
- Cygwin
- Skaitmeninis Unix
- DG / UX HP / UX
- IRIX
- Linux
- „macOS“
- SCO
- FreeBSD
- NetBSD
- „OpenBSD“
- „Solaris“
- „SunOS“
- „Linux“, skirta „IBM S / 390“, „zSeries“
„ProFTPD“ funkcijosTarp jo savybių mes pastebime:
- Jis turi vieną pagrindinį konfigūracijos failą su direktyvomis ir direktyvų grupėmis, kurios yra intuityvios kiekvienam vartotojui, naudojusiam „Apache“.
- Jis turi „.ftpaccess“ katalogą, kurio konfigūracija panaši į „Apache“ „.htaccess“
- Galimybė konfigūruoti kelis virtualius FTP serverius ir anonimines FTP paslaugas
- Skirtas veikti kaip atskiras serveris arba iš inetd / xinetd, priklausomai nuo sistemos apkrovos
- Anoniminiams FTP šakniniams katalogams nereikia jokios konkrečios katalogų struktūros, sistemos dvejetainių failų ar kitų sistemos failų, kad būtų lengviau juos valdyti
- Nėra SITE EXEC komandos. Šiuolaikinėje interneto aplinkoje šios komandos yra saugumo košmaras
- Šaltinio kodas yra prieinamas administratoriams ir kūrėjams, norint patikrinti sistemą
- Turi paslėptų failų ir katalogų, pagrįstų „Unix“ stiliaus leidimais arba vartotojo / grupės nuosavybe
- Jis veikia kaip konfigūruojamas neprivilegijuotas vartotojas autonominiu režimu, siekiant sumažinti atakų, galinčių išnaudoti „šaknies“ galimybes, tikimybę. Pastaba: Ši funkcija priklauso nuo „Unix“ pagrindinės sistemos galimybių
- Registras ir utmp / wtmp palaikymas. Registracija atitinka „wu-ftpd“ standartą, galima išplėstinė registracija
- „Shadow“ slaptažodžių rinkinio palaikymas, įskaitant pasibaigusių paskyrų palaikymą
- Jis pagrįstas moduline konstrukcija, leidžiančia lengvai išplėsti serverį moduliais. Moduliai buvo sukurti SQL duomenų bazėms, LDAP serveriams, SSL / TLS šifravimui, RADIUS palaikymui ir kt.
- Palaiko IPv6.
1. Kaip įdiegti EPEL „CentOS 7“
1 žingsnis
Pirmiausia reikia įdiegti EPEL saugyklą, kad vėliau gautumėte „ProFTPD“, todėl vykdome šiuos veiksmus:
yum -y įdiegti epel -release
2 žingsnis
Kai šis procesas bus baigtas, pamatysime tai:
3 žingsnis
Dabar importuosime EPEL GPG raktą naudodami šią eilutę:
aps./min-importas / etc / pki / rpm-gpg / RPM-GPG-KEY-EPEL-7Mes tęsiame sistemos paketų atnaujinimą:
yum -y atnaujinimas
2. Kaip įdiegti „ProFTPD“ kaip įdiegti EPEL „CentOS 7“
Kitas žingsnis, kurį reikia atlikti, bus įdiegti „ProFTPD“ ir „OpenSSL“ įrankį, atlikdami šiuos veiksmus:
yum install -y proftpd openssl proftpd -utils
Kai šis procesas bus baigtas, vykdysime šias eilutes:
systemctl start proftpd.service (paleidžia „ProFTPD“ paslaugą) systemctl įgalina proftpd.service (įgalina „ProFTPD“ paslaugą kartu su „CentOS“ paleidimu)
3. Kaip sukonfigūruoti ugniasienę
Jei „Firewalld“ įdiegta „CentOS 7“, turime ją sukonfigūruoti naudodami ugniasienę-cmd, kad atidarytumėte FTP prievadą taip:
firewall-cmd --add-service = ftp --permanent firewall-cmd -reload
Mes patikriname įdiegtą „ProFTPD“ versiją:
proftpd -v
4. Kaip sukurti „ProFTPD“ vartotojus ir grupes „CentOS 7“
Įdiegę „ProFTPD“ sistemoje „CentOS 7“, turėsite sukurti grupę ir vartotoją prieigai, šiuo atveju sukursime „ftpgroup“ grupę ir „solvetic1“ vartotoją „ProFTPD“, o „ftpshare“ nustatysime kaip namų katalogą sukurtas vartotojas:
groupadd ftpgroup useradd -G ftpgroup solvetic1 -s / sbin / nologin -d / ftpshare passwd solvetic1
Ten turime įvesti ir patvirtinti atitinkamą naujo vartotojo slaptažodį. Kai tai bus padaryta, suteiksime „ftpshare“ leidimus vykdydami:
chmod -R 1750 / ftpshare /
5. Kaip įjungti TLS „ProFTPD“
Dabar mums reikės apsaugoti FTP ryšius naudojant TLS, todėl turime atidaryti failą /etc/proftpd/proftpd.conf, tačiau jis yra idealus prieš redaguojant failą, sukurkite atsarginę pirminio failo kopiją ir tada redaguoti failą naudodami nano.
1 žingsnis
Norėdami sukurti kopiją, vykdome:
cp -pf /etc/proftpd.conf /etc/proftpd.conf.bakNorėdami pasiekti failą, naudosime „nano“ ir vykdysime:
nano /etc/proftpd.confRodomame faile po DefaultRoot ~! Adm eilute įvesime:
„PassivePorts“ 6000 6100
2 žingsnis
Be to, mes pakomentuosime šias eilutes:
# TLSEngine on TLSRreikalaujama TLSRSACertificateFile /etc/pki/tls/certs/proftpd.pem TLSRSACertificateKeyFile /etc/pki/tls/certs/proftpd.pem TLSCipherSuite ALL:! ADH:! DES TLSOptions 512RequestReikiama TL12 reikia TLSOptions 36 NoCertRequest000 offStriatet000 būtina TLSOptions NoCertRequest timeout 300 TLSLog /var/log/proftpd/tls.log # # TLSSessionCache shm: / file = / var / run / proftpd / sesscache # #3 žingsnis
Pakeitimus išsaugome naudodami „Ctrl“ + O klavišus ir išeiname iš redaktoriaus naudodami klavišus „Ctrl“ + X. Kaip matome, 6000 ir 6100 prievadai buvo pridėti, kad būtų galima naudoti pasyvųjį „ftp“ režimą. :
firewall-cmd --add-port = 6000-6100 / tcp-nuolatinė užkarda-cmd-iš naujo
4 žingsnis
Jei norime pamatyti uostų būseną, galime atlikti šiuos veiksmus:
firewall-cmd --list-ports
5 žingsnis
Dabar, norint leisti skaityti ir rašyti failus, reikės sukonfigūruoti SELINUX, atliekame šiuos veiksmus:
setsebool -P allow_ftpd_full_access = 1
6 žingsnis
Norėdami naudoti TLS, turėsite sukurti SSL sertifikatą, kurį sukursime kelyje / etc / pki / tls / certs, taip:
openssl req -x509 -nodes -newkey rsa: 1024 -keyout /etc/pki/tls/certs/proftpd.pem -out /etc/pki/tls/certs/proftpd.pemBus rodomi šie klausimai, į kuriuos įvesime tokius atsakymus kaip:
- Miestas
- Šalis
- Organizacija
- Paštą ir dar daugiau
7 žingsnis
Dabar saugumo sumetimais sukonfigūruosime sertifikatus taip, kad juos būtų galima skaityti tik taip:
chmod 0440 /etc/pki/tls/certs/proftpd.pemGaliausiai iš naujo paleidžiame „ProFTPD“ paslaugą atlikdami šiuos veiksmus:
systemctl iš naujo paleiskite proftpd.service
6. Kaip pasiekti „CentOS“ naudojant FTP
1 žingsnis
Norėdami pasiekti „CentOS“ naudodami FTP, galime naudoti FTP klientą, o šiuo atveju naudosime „Filezilla“, kurią galima atsisiųsti iš šios nuorodos:
Filezilla
Kai pasiekiame „Filezilla“, einame į meniu Failas ir ten pasirenkame parinktį Svetainės tvarkyklė, kad sukurtume prieigos konfigūraciją, įvesime:
Serveris192.168.0.9 („CentOS 7 IP“)
ProtokolasFTP
ŠifravimasReikalingas aiškus FTP per TLS
Prieigos režimasNormalus
Vartotojassolvetic1 (sukurtas sąrankos metu)
uostasTai gali būti tuščia, jei kitas nei 21 prievadas nebuvo pritaikytas, tai yra numatytasis nustatymas.
SlaptažodisSukurtas vartotojo sąrankos metu
DIDELIS
2 žingsnis
Kai tai bus apibrėžta, spustelėkite „Prisijungti“, kad pasiektumėte mūsų „CentOS“ serverį, ir iš čia pradėkite ryšį. Šį procesą galima atlikti iš „Windows“, „MacOS“ ar „Linux“, kai spustelėsime ten, bus rodomas toks pranešimas:
Pranešimo informacijaTen galime pamatyti tokias detales kaip:
- Sertifikato algoritmai, galiojimo data ir pirštų atspaudai
- Sertifikatų duomenys, sukonfigūruoti sukūrimo metu
- Sesijos duomenys su IP adresu, vartotoju, slaptažodžiais ir šifravimo tipu
3 žingsnis
Mes galime suaktyvinti laukelį Visada pasitikėti sertifikatu būsimuose seansuose, kad šis pranešimas nebūtų rodomas kiekviename ryšyje su „CentOS 7“.
Jei tai teisinga, spustelėkite mygtuką Gerai ir tokiu būdu būsime prisijungę prie „CentOS 7“ naudodami „ProFTPD“:
DIDELIS
Ten mes galime pradėti naršymo procesą be problemų.
4 žingsnis
Jei norite sukonfigūruoti anoniminį vartotoją FTP prieigai, mes sukursime šį failą:
nano /etc/proftpd.confTen įklijuosime:
[…] ### Anoniminis bendrinimas ##### Vartotojas ftp Group ftp UserAlias anoniminis ftp DirFakeUser ftp DirFakeGroup ftp MaxClients 10 DenyAllPakeitimus išsaugome naudodami klavišus Ctrl + O ir išeiname naudodami Ctrl + X.
5 žingsnis
Galiausiai iš naujo paleidžiame paslaugą:
systemctl iš naujo paleiskite proftpd.serviceMes matėme, kaip „ProFTPD“ yra naudinga priemonė užmegzti integruotą ryšį su mūsų serveriais, taip garantuojant integruotą ir visiškai judrų failų bendravimą.
Atminkite, kad „ProFTPD“ yra prieinamas įvairioms sistemoms, todėl jo naudojimas yra platus.