以Pure-ftp建構加密傳輸的FTP Service

     最近用Nexpose這套免費的弱點掃描軟體，強力掃描幾部Server，發現平常習以為常的FTP Service，被掃出FTP plaintext authentication弱點。FTP plaintext authentication中譯就是以純文字密碼登入認證。
     在FreeBSD環境中，最好架設的FTP就是Proftp，但查了一相關資料，發現它要配合SSL進行密碼加密或加密傳輸好像有點難度。因此轉向另一套也很很好裝的Pure-ftp。安裝與設定方式如下：

 1. cd  /usr/ports/ftp/pure-ftpd
 
     make install clean

    會出現如下畫面：

      建議勾選LARGEFILE、TLS與UTF8。

2. 安裝過程很快就結束了。接著在輸入：echo 'pureftpd_enable="YES"' >> /etc/rc.conf
    將pureftpd_enable="YES"加入 /etc/rc.conf中。

3. cd /usr/local/etc

   cp pure-ftpd.conf.sample pure-ftpd.conf

   ee pure-ftpd.conf

  在約423行，找到#TLS       1字樣，將前置註解符號#去掉，再將數字1改成2，存檔。

4.  建置SSL Key

      mkdir -p /etc/ssl/private 
 
      openssl req -x509 -nodes -newkey rsa:1024 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

      chmod 600 /etc/ssl/private/pure-ftpd.pem

5. 啟動pure-ftpd： /usr/local/etc/rc.d/pure-ftpd start

    FTP Client的設定，以FileZilla為例：

5. 點擊「站台管理員」→「新增站台」。會出現如下畫面：
 
 

    依序輸入站台名稱、主機IP

    勾選協定為「SFTP」，登入型式為「詢問密碼」，並輸入使用者。

    如下所圖所示：

    

   點擊確認後該站台即會被儲存。

   點擊連線即可以SFTP加密連線方式連入設定的IP位址。第一次登入時會要求輸入密碼。

   實在感覺不出來加密與未加密的傳輸有何差異，不過FTP搭配加密連線比較放心。