ProFTPd + TLS Ubuntu 8.10 alatt

Ebben a leírásban bemutatom, hogyan telepíthetjük a ProFTPd FTP szervert TLS támogatással Ubuntu 8.10 (Intrepid Ibex) rendszerre. A TLS miatt az FTP szerver és kliensek között az adatok (és a jelszavak, stb.) titkosítva, biztonságosan utaznak majd.
A telepítést parancssorból fogjuk elvégezni (mivel szerverre nem kell grafikus felület).
Figyelem! Az FTPS és az SFTP nem ugyanaz! Előbbi a most bemutatott TLS/SSL módszerrel titkosított FTP kapcsolatot jelöli, míg utóbbi az SSH fájlátviteli szolgáltatása!
Telepítsük a ProFTPd és OpenSSL csomagokat

sudo apt-get install proftpd openssl -y

Telepítés közben a rendszer megkérdezi a Run proftpd kérdéssel, hogy a ProFTPd kiszolgálót milyen formában akarjuk futtatni, itt válasszuk a Standalone lehetőséget.

Ha kész a telepítés nyissuk meg szerkesztésre a ProFTPd beállító fájlját, hogy módosíthassuk:

sudo nano /etc/proftpd/proftpd.conf

Majd a következő sorokat keressük meg, és írjuk át arra, amit itt szerepel:

UseIPv6 off #IPv6 támogatás kikapcsolása, ha IPv6-ot használunk, legyen on
DefaultRoot ~ # töröljük csak a sor előtti # jelet, így a felhasználók nem léphetnek ki home mappájukból

 

A követező sort pedig írjuk a konfigurációs fájl végére:

ServerIdent on "FTP Server ready."

Ha tűzfal (router, stb) mögött van a szerver, akkor még az alábbi sorokat is módosítsuk:

PassivePorts 40000 44000 #töröljük a sor előtti # jelet, majd ezeket a portokat - a 21 mellett - forwaldoljuk be az Ubuntu szerverünk felé
MasqueradeAddress  1.2.3.4 #ide írjuk be publikus, internetes IP címünket

A kilépéshez nyomjunk CTRL+X-et, majd egy I (esetleg Y ha angol nyelvű) betűt a mentéshez.
Hozzunk létre egy mappát, ahol az SSL tanúsítványunkat fogjuk tárolni:

sudo mkdir /etc/proftpd/ssl

Majd magát a tanúsítványt is hozzuk létre

sudo openssl req -new -x509 -days 365 -nodes -out /etc/proftpd/ssl/proftpd.cert.pem -keyout /etc/proftpd/ssl/proftpd.key.pem

A tanúsítvány létrehozásakor pár kérdésre válaszolnunk kell a rendszer számára.

• Country Name (2 letter code) [AU]: Ide országunk kétbetűs kódját írjuk (HU)
• State or Province Name (full name) [Some-State]: Megye neve
• Locality Name (eg, city) []: Város neve
• Organization Name (eg, company) [Internet Widgits Pty Ltd]: Szervezet (cég) neve
• Organizational Unit Name (eg, section) []: Szervezeten (cégen) belüli egység neve, pl. Informatika
• Common Name (eg, YOUR name) []: Ide írjuk a szerverünk domain nevét (amivel az interneten keresztül elérjük), pl. sajatszerver.myip.hu
• Email Address []: Email címünk

Most be kell állítani a ProFTPd-nek a most létrehozott tanúsítványt

sudo nano /etc/proftpd/proftpd.conf

Majd keressük meg a következő sort, és töröljük a sor előtti # jelet:

Include /etc/proftpd/tls.conf

Mentsük a fájlt, majd nyissuk meg szerkesztésre a /etc/proftpd/tls.conf fájlt

sudo nano /etc/proftpd/tls.conf

Ami a fájlban van azt nyugodtan kitörölhetjük, majd az alábbi beállítósokat másoljuk be:

<IfModule mod_tls.c>
TLSEngine                  on
TLSLog                     /var/log/proftpd/tls.log
TLSProtocol                SSLv23
TLSOptions                 NoCertRequest
TLSRSACertificateFile      /etc/proftpd/ssl/proftpd.cert.pem
TLSRSACertificateKeyFile   /etc/proftpd/ssl/proftpd.key.pem
TLSVerifyClient            off
TLSRequired                on
</IfModule>

Ha a TLSRequired sorban on van, akkor csak olyan FTP kliensek csatlakozhatnak a szerverhez, amik támogatják a titkosított FTP kapcsolatot. Ha sima FTP kapcsolatot is engedélyezni szeretnénk, akkor az on értéket írjuk át off értékre.
Majd indítsuk újra a ProFTPd szervert:

sudo /etc/init.d/proftpd restart

Most már csatlakozhatunk az FTP szerverre. Ne felejtsük el beállítani FTP kliensünkben, hogy a kapcsolat TLS/SSL titkosítást használ (megtalálhatjuk még FTPS, FTP over SSL, FTP explicit TLS/SSL néven is)!