为FTP配置加密传输
一、生成自签名openssl证书
在之前的文章搭建VSFTP 中,通过配置本地用户的用户名和密码,从而增强了FTP服务的安全性,并实现了FTP的上传。但是,这种配置存在的问题是在FTP传输文件的时候不能加密传输,本教程采用open自建证书的方式,实现FTP的加密传输。
1. 首先,我们需要下载openssl,执行命令:
1
2
yum install -y openssl // centos中用yum管理
apt-get install openssl // ubuntu中用apt管理(新版Ubuntu自带openssl)
即可安装openssl,之后使用openssl生成证书命令如下:
1
openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem -days 356
在上述命令中:
1
2
3
4
5
req表示生成一个证书
-new是第一次执行该命令需要携带的参数
-out指定了证书的文件名称
-keyout指定证书密钥的文件(在本实例中,这两个文件都保存在相同的文件中)
-days表示证书的有效期
在执行上述命令后,进入交互式页面,需要输入证书的地点、组织等信息:
上述命令执行完毕后,会在当前目录下生成一个vsftpd.pem文件
1 | yum install -y openssl // centos中用yum管理 |
1 | openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem -days 356 |
1 | req表示生成一个证书 |
生成证书后,我们通常会把证书移动到/etc/vsftpd目录下,为证书文件单独创建一个隐藏目录,然后把证书放入其中,为了保证安全性,我们通常会把证书文件权限设置成400。相关命令如下所示:
1
2
3
mkdir -p /etc/vsftpd/.ssl
mv vsftpd.pem /etc/vsftpd/.ssl/
chmod 400 /etc/vsftpd/.ssl/
# 二、修改vsftp支持证书
1. 在创建证书后,我们需要修改vsftpd的配置文件,使其支持证书,并配置加密功能,打开/etc/vsftpd/vsftpd.conf文件,在任意位置处,写入内容如下:
1
2
3
4
5
6
7
8
9
10
ssl_enable=YES
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=TRUE
ssl_sslv2=FALSE
ssl_sslv3=FALSE
require_ssl_reuse=NO
ssl_ciphers=HIGH
rsa_cert_file=/etc/vsftpd/.ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/.ssl/vsftpd.pem
上述配置中:
1
2
3
4
5
6
ssl_enable表示开启ssl证书功能
force_local_data_ssl和force_local_login_ssl表示在登录和数据传输时采用证书加密
ssl_tlsv1,ssl_sslv2,ssl_sslv3表示ssl证书的版本
require_ssl_reuse表示不重用SSL会话
第八行ssl_cipthers表示用于加密ssl连接
rsa_cert_file和rsa_private_key_file表示ssl的证书和密钥文件存放位置
在完成上述所有操作后,我们的vsFTPd服务就已经配置完成了,接下来我们就可以重启FTP服务,然后进行验证
1 | mkdir -p /etc/vsftpd/.ssl |
1 | ssl_enable=YES |
1 | ssl_enable表示开启ssl证书功能 |
三、效果验证
- 为了验证我们的FTP加密证书是否配置有效,我们下载了FileZilla软件,用以链接我们配置的FTP服务器,在正确输入IP地址、用户名、密码等信息后,效果如下
效果验证
可以看出,FTP连接时下载到了FTP服务器的证书,并且证书中的各项参数与我们之前配置的各项参数基本一致。
在接受并信任该证书后,就成功登录了FTP服务器。
- 标题: 为FTP配置加密传输
- 作者: 耀鳞光翼
- 创建于 : 2022-05-07 14:30:36
- 更新于 : 2024-11-14 12:40:11
- 链接: https://blog.lightwing.top/2022/05/07/ftpencrypt/
- 版权声明: 本文章采用 CC BY-NC-SA 4.0 进行许可。
评论