FileZilla/FTPS, nyílt SSL/TLS használatával


KonfigurálásSzerkesztés

Amikor először akarunk tanúsítványt csinálni, akkor használjuk a FileZilla Szerver "Certificate Generator = Tanúsítvány Generátorát". Ehhez ország kódjára, az államra, a városra és egyéb dolgokra lesz szüksége. Ezeknek az információknak nem kell mind helyesnek lenniük, csak azért kellenek hogy létre tudja hozni a "hash"-t hogy tudjuk titkosítani és visszafejteni az adat forgalmat, amely a szerver és a kliens között bonyolódik le.

A tanúsítvány titkosításának erőssége a Tanúsítvány Generátor ablak felső részén választható ki 1024bit, 2048bit és 4096bit közül. Minél nagyobb a hash titkosítása, annál biztonságosabb lesz az adat és a felhasználói információk továbbítása. Azonban van még egy dolog amit számításba kell venni: a CPU (processzor) kihasználása. Ha titkosítással akarjuk használni a FileZilla Szervert, akkor a CPU rengeteg számítást végez az elküldendő adatok titkosításához és a beérkezők visszafejtéséhez. A CPU kihasználásakor a sávszélességet is figyelembe kell venni. Ha lassúbb kapcsolatunk van, mondjuk kb. 1.5Mbit/sec, akkor nem kell nagyon aggódni a CPU kihasználtsága miatt. A legjobb, ha kipróbálás útján határozzuk meg a titkosítás mértékét.

Jegyezzük meg, hogy a FileZilla Szervernek szüksége van az alábbi utakra, hogy tanúsítsa a fájlokat:

Ha saját kulcsot és tanúsítványt generálunk anélkül, hogy megadnánk az elérési utat a fájl neve előtt, akkor a FileZilla Szerver szimplán csak a fájl nevét rakja be a hitelesítő mezőbe, a hibára való figyelmeztetés nélkül, viszont később a "Could not load certificate file = Nem tudom betölteni a tanúsító fájlt" hibaüzenetet kapjuk a log-ban, amikor valaki megpróbál FTPS/FTPES-en keresztül csatlakozni.

Ezért mindig írjuk be a teljes elérési utat a saját kulcshoz és hitelesítő fájlokhoz a megfelelő mezőkbe, hogy a FileZilla Szerver megtalálja azokat.

Miután megcsináltuk a hitelesítést, írjuk be az elérési útját a "Private key file = Saját kulcs fájl" mezőbe, vagy tallózzuk ki azt.

Ha a szerverünknek közvetlen kapcsolata van az internet felé, a beállítás egyszerű, be kell pipálni az "Enable SSL/TLS Support = SSL/TLS támogatás engedélyezése"-t.

NAT beállításaSzerkesztés

Ha NAT mögött vagyunk, az átviteli folyamat furfangos lehet. Ha beállítjuk az SSL/TLS-t, láthatunk egy "425 data connection could not be opened = 425 az adat-kapcsolatot nem tudom megnyitni". Amíg NAT mögött vagyunk és SSL/TLS-t használunk, az FTP-t nem használhatjuk aktív módban, csak passzív módban. A passzív mód egy kliens oldali beállítás, de az nem a 20-as és 21-es portot használja. Hogy minimalizáljuk az elérhető portok megnyitását az internet felé, állítsunk be egy port tartományt. A szerver "Passive mode settings = Passzív mód beállítások" menüjében be kell pipálni a "Use custom port range: = Szokásos port tartomány használata"-t, majd meg kell adni a portokat, amelyeket használni szeretnénk passzív módban. Ne felejtsük el hozzáadni ezeket a portokat a NAT eszközünkben (router) a "port forwarding = port továbbküldés" beállításnál.

Engedélyezni kell az Explicit SSL/TLS-t az SSL/TLS menüben úgy, hogy bepipáljuk az "allow Explicit SSL/TLS on normal connections = Explicit SSL/TLS engedélyezése normál kapcsolatok esetén". Javasolt bekapcsolni a "Force Explicit SSL/TLS = Explicit SSL/TLS erőltetése" lehetőséget és a "Force PROT P to encrypt data Channel in SSL/TLS mode = SSL/TLS módban a PROT P erőltetése az adat csatorna visszafejtéséhez" is. Ezek kényszerítik ki a titkosító intézkedéseket. Ha csak bizonyos csoportokat, vagy felhasználókat szeretnénk, hogy titkosítást használjon, azt is beállíthatjuk a felhasználó vagy csoport szerkesztő ablakában. Ha van még adat, amit az általános közösség számára elérhetővé szeretnénk tenni, a "Force = erőltet" beállítást le kell tiltani a szerver beállítások menüben. Ebben az esetben inkább egy FTP kliens programra van szükségünk, mint egy web böngészőre, hogy hozzáférjünk az FTP szerverhez.


Az FTP szerverünk beállítása így megengedi, hogy titkosítsuk az adatot és a belépési információkat anélkül, hogy harmadik programot használnánk. Az explicit SSL/TLS használatához szükségünk van egy FTP kliensre. A Firefox és az Internet Explorer nem támogatja az SSL/TLS-t különleges kiegészítők nélkül.


Az eredeti szöveg