Artikel ini menjelaskan cara menyiapkan server vsftpd berkemampuan TLS di server Debian 8 dan cara mengakses server FTP dengan FileZilla. FTP adalah protokol yang sangat tidak aman secara default karena semua kata sandi dan semua data ditransfer dalam teks yang jelas. Dengan menggunakan TLS, seluruh komunikasi dapat dienkripsi, sehingga membuat FTP jauh lebih aman.
1 Catatan Awal
Dalam tutorial ini, saya akan menggunakan hostname server1.example.com dengan alamat IP 192.168.1.100. Pengaturan ini mungkin berbeda untuk Anda, jadi Anda harus menggantinya jika perlu. Saya menggunakan penyiapan server minimal Debian 8 sebagai dasar untuk tutorial ini.
2 Memasang vsftpd Dan OpenSSL
OpenSSL dibutuhkan oleh TLS; untuk menginstal vsftpd dan OpenSSL, kita cukup menjalankan:
apt-get -y install vsftpd openssl
3 Membuat Sertifikat SSL Untuk TLS
Untuk menggunakan TLS, kita harus membuat sertifikat SSL. Saya membuatnya di /etc/ssl/private - jika direktori tidak ada, buat sekarang::
mkdir -p /etc/ssl/private
chmod 700 /etc/ssl/private
Setelah itu, kita dapat membuat sertifikat SSL sebagai berikut:
openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem
Nama Negara (kode 2 huruf) [AU]:<-- Masukkan Nama Negara Anda (mis., "DE").
Nama Negara Bagian atau Provinsi (nama lengkap) [Beberapa Negara Bagian]:<-- Masukkan Negara Bagian Anda atau Nama Provinsi.
Nama Lokalitas (mis., kota) []:<-- Masukkan Kota Anda.
Nama Organisasi (mis., perusahaan) [Internet Widgits Pty Ltd]:<-- Masukkan Nama Organisasi Anda (mis., nama perusahaan Anda).
Nama Unit Organisasi (mis., seksi) []:<-- Masukkan Nama Unit Organisasi Anda (mis. "Departemen TI").
Nama Umum (mis. nama ANDA) []:<-- Masukkan Nama Domain yang Memenuhi Syarat dari sistem (mis. "server1.example.com").
Alamat Email []:<-- Masukkan Alamat Email Anda.
4 Mengaktifkan TLS Di vsftpd
Untuk mengaktifkan TLS di vsftpd, buka /etc/vsftpd.conf...
nano /etc/vsftpd.conf
... dan tambahkan atau ubah opsi berikut:
[...]
# Turn on SSL ssl_enable=YES # Allow anonymous users to use secured SSL connections allow_anon_ssl=YES # All non-anonymous logins are forced to use a secure SSL connection in order to # send and receive data on data connections. force_local_data_ssl=YES # All non-anonymous logins are forced to use a secure SSL connection in order to send the password. force_local_logins_ssl=YES # Permit TLS v1 protocol connections. TLS v1 connections are preferred ssl_tlsv1=YES # Permit SSL v2 protocol connections. TLS v1 connections are preferred ssl_sslv2=NO # permit SSL v3 protocol connections. TLS v1 connections are preferred ssl_sslv3=NO # Disable SSL session reuse (required by WinSCP) require_ssl_reuse=NO # Select which SSL ciphers vsftpd will allow for encrypted SSL connections (required by FileZilla) ssl_ciphers=HIGH # This option specifies the location of the RSA certificate to use for SSL # encrypted connections. rsa_cert_file=/etc/ssl/private/vsftpd.pem [...]
Jika Anda menggunakan force_local_logins_ssl=YES dan force_local_data_ssl=YES, maka hanya koneksi TLS yang diizinkan (ini mengunci semua pengguna dengan klien FTP lama yang tidak memiliki dukungan TLS); dengan menggunakan force_local_logins_ssl=NO dan force_local_data_ssl=NO koneksi TLS dan non-TLS diizinkan, tergantung pada apa yang didukung klien FTP.
Terlepas dari opsi TLS, pastikan Anda juga memiliki pengaturan berikut di vsftpd.conf Anda untuk mengaktifkan login non-anonim:
[...] # Uncomment this to allow local users to log in. local_enable=YES # # Uncomment this to enable any form of FTP write command. write_enable=YES # # Default umask for local users is 077. You may wish to change this to 022, # if your users expect that (022 is used by most other ftpd's) local_umask=022 [...]
Mulai ulang vsftpd setelahnya:
service vsftpd restart
Itu dia. Anda sekarang dapat mencoba terhubung menggunakan klien FTP Anda; namun, Anda harus mengonfigurasi klien FTP Anda untuk menggunakan TLS (ini adalah suatu keharusan jika Anda menggunakan force_local_logins_ssl=YES dan force_local_data_ssl=YES) - lihat bab berikutnya tentang cara melakukannya dengan FileZilla.
5 vsftpd tambahkan pengguna
Pada langkah ini, kami akan menambahkan pengguna Linux lokal yang dapat kami gunakan untuk terhubung. Saya akan membuat pengguna "sampai" dengan kata sandi "howtoforge". Semua pengguna FTP harus memiliki direktori home mereka di mkdir /var/ftproot, jadi saya akan membuat direktori ini terlebih dahulu.
mkdir /var/ftproot
Kemudian tambahkan pengguna dengan perintah:
adduser --home /var/ftproot/till till
Perintah adduser akan meminta kata sandi pengguna dan beberapa detail lainnya
[email protected]:/# adduser --home /var/ftproot/till till
Adding user `till' ...
Adding new group `till' (1001) ...
Adding new user `till' (1001) with group `till' ...
Creating home directory `/var/ftproot/till' ...
Copying files from `/etc/skel' ...
Enter new UNIX password: <-- Enter the new password here
Retype new UNIX password: <-- Enter the new password here
passwd: password updated successfully
Changing the user information for till
Enter the new value, or press ENTER for the default
Full Name []: <-- Enter your name here or press enter to skip
Room Number []: <-- Enter room number here or press enter to skip
Work Phone []: <-- Enter work phone here or press enter to skip
Home Phone []: <-- Enter home phone here or press enter to skip
Other []: <-- Enter Other user details here or press enter to skip
Is the information correct? [Y/n] <-- Y
Kami berhasil menambahkan pengguna FTP.
6 Mengonfigurasi FileZilla untuk TLS
Untuk menggunakan FTP dengan TLS, Anda memerlukan klien FTP yang mendukung TLS, seperti FileZilla.
Di FileZilla, buka Manajer Server:
Masukkan alamat IP atau nama host server FTP di bidang server, pilih protokol "FTP" dan "Memerlukan FTP Eksplisit melalui TLS", lalu masukkan nama pengguna di bidang pengguna.
Sekarang Anda dapat terhubung ke server. Jika Anda melakukan ini untuk pertama kalinya, Anda harus menerima sertifikat SSL baru dari server:
Jika semuanya berjalan dengan baik, Anda sekarang harus masuk ke server:
7 Tautan
- vsftpd:https://security.appspot.com/vsftpd.html
- FileZilla:http://filezilla-project.org/
- Debian:http://www.debian.org/