Thiết lập ProFTPd với TLS trên Ubuntu 11.04

Quản Trị Mạng – FTP là một giao thức truyền tải tập tin được dùng khá phổ biến ngày nay. Tuy nhiên giao thức này dần trở nên kém an toàn bởi vì toàn bộ mật khẩu và dữ liệu của tập tin được truyền đi dưới dạng văn bản thường (clear text). Do đó chúng có thể bị kẻ trộm chặn và xem nội dung. Bằng cách sử dụng TLS, toàn bộ thông tin sẽ được mã hóa, và sẽ giúp cho FTP an toàn hơn rất nhiều. Bài viết sau sẽ hướng dẫn các bạn các thiết lập ProFTPd với TLS trong máy chủ Ubuntu 11.04.

>>> Tìm hiểu về OpenSSH trong Linux

Lưu ý: Trong phần minh họa sau đây chúng tôi sử dụng hostname server1.example.com với địa chỉ IP 192.168.0.100. Các thiết lập này có thể khác nhau đối với bạn, vì vậy cần thay thế chúng sao cho phù hợp.

Ngoài ra, do chúng ta cần chạy toàn bộ các bước trong hướng dẫn này với quyền root nên cần thêm vào trước tất cả các dòng lệnh chuỗi sudo, hoặc có thể trở về quyền root bằng cách gõ:

sudo su

Cài đặt ProFTPd và OpenSSL

OpenSSL là một tiện ích nguồn mở cần thiết cho TLS, việc cài đặt ProFTPd và OpenSSL rất đơn giản, chỉ cần chạy lệnh sau:

apt-get install proftpd openssl

Sau đó bạn sẽ nhận được một câu hỏi:

Run proftpd:

Để tăng mức độ bảo mật bạn có thể thêm dòng lệnh sau vào file /etc/proftpd/proftpd.conf. (xem thêm thông tin tại đây):

vi /etc/proftpd/proftpd.conf

Tạo chứng chỉ SSL cho TLS

Để sử dụng TLS chúng ta cần tạo một chứng chỉ SSL. Chúng tôi đã tạo nó trong /etc/proftpd/ssl, do đó tiếp theo là tạo trong đường dẫn đầu tiên:

mkdir /etc/proftpd/ssl

Cuối cùng chúng ta có thể tạo ra chứng chỉ SSL như sau:

openssl req -new -x509 -days 365 -nodes -out /etc/proftpd/ssl/proftpd.cert.pem -keyout /etc/proftpd/ssl/proftpd.key.pem

Country Name (2 letter code) [AU]: <nhập tên quốc gia của bạn>
State or Province Name (full name) [Some-State]: <tên đầy đủ tỉnh hoặc tiểu bang của bạn>
Locality Name (eg, city) []: <nhập tên thành phố>
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <nhập tên tổ chức hay công ty>
Organizational Unit Name (eg, section) []: <nhập tên đơn vị của tổ chức đó>
Common Name (eg, YOUR name) []: <nhập đầy đủ tên miền của hệ thống (vd: server1.example.com )>
Email Address []: <địa chỉ email của bạn>

Kích hoạt TLS trong ProFTPd

Để kích hoạt TLS trong ProFTPd bạn hãy mở /etc/proftpd/proftpd.conf:

vi /etc/proftpd/proftpd.conf

và bỏ ghi chú “Include /etc/proftpd/tls.conf”

Sau đó mở /etc/proftpd/tls.conf và làm cho nó giống như sau:

vi /etc/proftpd/tls.conf

Nếu sử dụng TLSRequired on, sau đó chỉ có các kết nối TLS là được cho phép (điều này sẽ bị khóa với các FTP client cũ không được hỗ trợ TLS); bằng cách sử dụng TLSRequired off, kết nối TLS và non-TLS sẽ được cho phép tùy thuộc vào sự hỗ trợ của FTP client.

Khởi động lại ProFTPd:

/etc/init.d/proftpd restart

Bạn có thể thử kết nối bằng FTP client của mình, tuy nhiên bạn nên cấu hình lại để sử dụng TLS (điều này là cần thiết nếu bạn sử dụng TLSRequired on).

Nếu bạn gặp vấn đề với TLS, bạn có thể xem tập tin log /var/log/proftpd/tls.log.

Cấu hình FileZilla cho TLS

Để sử dụng FTP với TLS, bạn cần một máy khách FTP hỗ trợ TLS, chẳng hạn như FileZilla.

Trong FileZilla mở Server Manager:

Chọn máy chủ sử dụng ProFTPd với TLS. Trong Server type của menu xổ dọc xuống chọn FTPES thay vì FTP:

Bây giờ bạn có thể kết nối tới máy chủ. Nếu đây là lần đầu tiên làm việc này, bạn cần chấp nhận chứng chỉ SSL mới của máy chủ:

Một khi mọi thứ diễn ra suôn sẻ, bạn sẽ bắt đầu quá trình đăng nhập vào server.