vsftpd+ssl实现ftps

ftp

字数统计: 532阅读时长: 2 min

 2017/04/04   Share

ftps

正如我们所说的ftp明文传输，只要有人监听网络，抓取网络传输报文就可以很轻松的得到ftp明文的用户名和密码，为了安全，这里我们和http一样的原理实现ftps。

自建CA

自建ca还是和ftp在同一台服务器

～]# (umask 077；openssl genrsa -out /etc/pki/CA/privite/cakey.pem 4096)
～]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650
～]# mkdir /etc/pki/CA/{newcerts,certs,crl}
～]# touch /etc/pki/CA/{serial,index.txt}
～]# echo 01 > /etc/pki/CA/serial

签署证书

~]# cd /etc/vsftpd/
~]# mkdir ssl
~]# cd ssl
~]# (umask 077;openssl genrsa -out ftp.key 2048)
~]# openssl req -new -key ftp.key -out ftp.csr -days 365
~]# openssl ca -in ftp.csr -out ftp.crt -days 365

修改配置

cat /etc/vsftpd/vftpd.conf
ssl_enable=YES
ssl_tlsv1=YES
ssl_sslv2=YES
ssl_sslv3=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
rsa_cert_file=/etc/vsftpd/ssl/ftp.crt
rsa_private_key_file=/etc/vsftpd/ssl/ftp.key

测试

local 用户登录

~]# ftp 10.211.55.35
Connected to 10.211.55.35 (10.211.55.35).
220 (vsFTPd 2.2.2)
Name (10.211.55.35:root): jusene
530 Non-anonymous sessions must use encryption.
Login failed.
ftp> ^C
ftp> 221 Goodbye.

匿名用户登录,我们明确指出anonymous不需要ssl加密会话

~]# ftp 10.211.55.35
Connected to 10.211.55.35 (10.211.55.35).
220 (vsFTPd 2.2.2)
Name (10.211.55.35:root): anonymous
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
227 Entering Passive Mode (10,211,55,35,189,49).
150 Here comes the directory listing.
drwxr-xr-x    2 0        0            4096 May 11  2016 pub
226 Directory send OK.

需要测试ssl加密登录，我们可以在windows中下载第三方ftp登录工具

ssl配置选项简单说明

ssl_enable:开启ssl会话功能，ssl的配置都依赖这个功能
allow_anon_ssl:允许匿名用户使用ssl会话
force_anon_data_ssl:强制匿名用户使用ssl加密数据传输
force_anon_logins_ssl:强制匿名用户使用ssl登录
force_local_data_ssl:强制local用户使用ssl加密数据传输
force_local_logins_ssl:强制local用户使用ssl登录
ssl_sslv2 ssl_sslv3 ssl_tlsv1 ssl_tlsv1_1 ssl_tlsv1_2 支持的加密版本

原文作者：Zhang Jusene

原文链接：http://jusene.github.io/2017/04/04/ftps/

发表日期：April 4th 2017, 8:29:19 am

更新日期：November 30th 2019, 1:54:24 am

Next Post

基于nfs服务的应用部署
Previous Post

vsftpd基于pam_mysql虚用户进行认证

CATALOG

1. ftps



缺失模块。
1、请确保node版本大于6.2
2、在博客根目录（注意不是archer根目录）执行以下命令：
npm i hexo-generator-json-content --save
3、在根目录_config.yml里添加配置：

jsonContent:
  meta: false
  pages: false
  posts:
    title: true
    date: true
    path: true
    text: false
    raw: false
    content: false
    slug: false
    updated: false
    comments: false
    link: false
    permalink: false
    excerpt: false
    categories: true
    tags: true

1	～]# (umask 077；openssl genrsa -out /etc/pki/CA/privite/cakey.pem 4096)
2	～]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650
3	～]# mkdir /etc/pki/CA/{newcerts,certs,crl}
4	～]# touch /etc/pki/CA/{serial,index.txt}
5	～]# echo 01 > /etc/pki/CA/serial

1	~]# cd /etc/vsftpd/
2	~]# mkdir ssl
3	~]# cd ssl
4	~]# (umask 077;openssl genrsa -out ftp.key 2048)
5	~]# openssl req -new -key ftp.key -out ftp.csr -days 365
6	~]# openssl ca -in ftp.csr -out ftp.crt -days 365

1	cat /etc/vsftpd/vftpd.conf
2	ssl_enable=YES
3	ssl_tlsv1=YES
4	ssl_sslv2=YES
5	ssl_sslv3=YES
6	allow_anon_ssl=NO
7	force_local_data_ssl=YES
8	force_local_logins_ssl=YES
9	rsa_cert_file=/etc/vsftpd/ssl/ftp.crt
10	rsa_private_key_file=/etc/vsftpd/ssl/ftp.key

1	~]# ftp 10.211.55.35
2	Connected to 10.211.55.35 (10.211.55.35).
3	220 (vsFTPd 2.2.2)
4	Name (10.211.55.35:root): jusene
5	530 Non-anonymous sessions must use encryption.
6	Login failed.
7	ftp> ^C
8	ftp> 221 Goodbye.