Немного действий и наш FTP станет немного безопаснее.
Содержание
Редактируем конфиг pure-ftpd.conf
ee /usr/local/etc/pure-ftpd.conf
Изменяем (или добавляем) следующие параметры
TLS 1
ForcePassiveIP (Ваш внешний постоянный IP)
PassivePortRange 19320 19420
Создание сертификата
Создаем директорию для хранения сертификата
mkdir -p /etc/ssl/private
Генерируем сам сертификат
На 10 лет (-days 3650)
openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -sha256 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem
Попросят заполнить данные:
В поле FQDN указывайте IP адрес, а не домен, чтобы для разных юзеров работало.
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Moscow
Locality Name (eg, city) []:Moscow
Organization Name (eg, company) [Internet Widgits Pty Ltd]:IT RUSSIA
Organizational Unit Name (eg, section) []:IT Moscow
Common Name (e.g. server FQDN or YOUR name) []:Your Public IP
Email Address []:example@example.com
Выставляем права на все сертификаты в указанной директории
chmod 600 /etc/ssl/private/*.pem
Перезапускаем pureftpd
# Для FreeBSD /usr/local/etc/rc.d/pure-ftpd restart # Для Debian /etc/init.d/pure-ftpd-mysql restart
Вуаля!
Но не забываем в маршрутизаторе разрешить/прописать порты пассивной передачи для NAT, если необходимо.
На всякий случай для FileZilla (бесплатный FTP-клиент)
По адресу в Mac OS можно удалить кеш Filezilla:
/Users/username/.config/filezilla/
Файл trustedcerts.xml содержит сертификаты для безопасных веб-сайтов, которые пользователь обозначил как доверенные для FileZilla. Его и удаляем.
Интересное описание ключей
http://nixway.org/pureftpd-config-params/