Настройка TLS в PureFTPd (FreeBSD)

Немного действий и наш FTP станет немного безопаснее.

Редактируем конфиг pure-ftpd.conf

ee /usr/local/etc/pure-ftpd.conf

Изменяем (или добавляем) следующие параметры

TLS                      1
ForcePassiveIP (Ваш внешний постоянный IP)
PassivePortRange 19320 19420

Создание сертификата

Создаем директорию для хранения сертификата

mkdir -p /etc/ssl/private

Генерируем сам сертификат
На 10 лет (-days 3650)

openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -sha256 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Попросят заполнить данные:
В поле FQDN указывайте IP адрес, а не домен, чтобы для разных юзеров работало.

Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Moscow
Locality Name (eg, city) []:Moscow
Organization Name (eg, company) [Internet Widgits Pty Ltd]:IT RUSSIA
Organizational Unit Name (eg, section) []:IT Moscow
Common Name (e.g. server FQDN or YOUR name) []:Your Public IP
Email Address []:example@example.com

Выставляем права на все сертификаты в указанной директории

chmod 600 /etc/ssl/private/*.pem

Перезапускаем pureftpd

# Для FreeBSD
/usr/local/etc/rc.d/pure-ftpd restart

# Для Debian
/etc/init.d/pure-ftpd-mysql restart

 

Вуаля!

Но не забываем в маршрутизаторе разрешить/прописать порты пассивной передачи для NAT, если необходимо.

 

На всякий случай для FileZilla (бесплатный FTP-клиент)

По адресу в Mac OS можно удалить кеш Filezilla:
/Users/username/.config/filezilla/

Файл trustedcerts.xml содержит сертификаты для безопасных веб-сайтов, которые пользователь обозначил как доверенные для FileZilla. Его и удаляем.

 

Интересное описание ключей

http://nixway.org/pureftpd-config-params/

 




Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *