FTP 보안설정2 ( Passive Mode )

VSFTP의 보안 기능인 SFTP, FTPS을 설정해보자.

yum -y install openssh-server openssh 설치 후, vim /etc/ssh/sshd_config에 아래의 문구를 추가한다.

Subsystem       sftp    internal-sftp

Match Group sftp-users

ChrootDirectory /practice/%u

ForceCommand internal-sftp

# service sshd restart

# groupadd sftp-users

# useradd -g sftp-users sftp-user1

# useradd -g sftp-users sftp-user2

# passwd sftp-user1

# passwd sftp-user2

# id sftp-user1

# mkdir /practice/sftp-user1/test_dir

# chmod -R 755 /practice/sftp-user1

# chown -R root:sftp-users /practice/sftp-user1

이제, Client에서 접속을 해보자

# yum -y install openssh-clients

# ssh sftp-user1@ftp.tyen.com

HTTPS 설정해보기

1. VSFTP 설정 변경

anonymous_enable=NO

local_enable=YES

write_enable=YES

chroot_local_user=YES

2. SSL/TLS 설정에 필요한 키와 인증서 생성

# cd /etc/pki/tls/certs

# openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout vsftpd.epm(키이름) -out vsdtpd.pem(인증서이름)

명령어 openssl으로, X.509형식의 인증서를 생성하고, 해당 인증서는 1년간 유효하며, RSA 알고리즘으로

1024비트 크기의 개인 키를 생성한다. 이 키의 이름과 인증서의 이름은 동일하다.

Country Name (2 letter code) [XX]:KR        국가 이름

State or Province Name (full name) []:Seoul       도시이름

Locality Name (eg, city) [Default City]:tyen          지역이름

Organization Name (eg, company) [Default Company Ltd]:KISA    회사 이름

Organizational Unit Name (eg, section) []:LINUX         인증서 이름      

Common Name (eg, your name or your server's hostname) []:Server-A    호스트 이름

Email Address []:tistory.tyen.com    이메일 주소

3. /etc/vsftpd/vsftpd/conf파일에 SSL 설정

아래의 문구를 추가한다.

rsa_cert_file=/etc/pki/tls/certs/vsftpd.pem    인증서 경로

rsa_private_key_file=/etc/pki/tls/certs/vsftpd.epm    개인 키 경로

ssl_enable=YES    SSL 사용 활성화

allow_anon_ssl=NO    익명 사용자는 SSL 사용 차단

force_local_data_ssl=YES    모든 사용자가 데이터 통신시 SSL 기반 연결 사용

force_local_logins_ssl=YES    계정 사용자가 패스워트 전송시 SSL 기반 연결 사용

ssl_tlsv1=YES        프로토콜 TLSv1 기반 연결 허용

ssl_sslv2=NO        프로토콜 SSLv2 기단 연결 차단

ssl_sslv3=NO        프로토콜 SSLv3 기단 연결 차단

ssl_ciphers=HIGH       128비트 보다 큰 암호화

4. 설정 적용을 위한 재부팅

# service vsftpd restart