[[191190]]

在一開(kāi)始的設(shè)計(jì)中，F(xiàn)TP(文件傳輸協(xié)議)就是不安全的，意味著它不會(huì)加密兩臺(tái)機(jī)器之間傳輸?shù)臄?shù)據(jù)以及用戶的憑據(jù)。這使得數(shù)據(jù)和服務(wù)器安全面臨很大威脅。

在這篇文章中，我們會(huì)介紹在 CentOS/RHEL 7 以及 Fedora 中如何在 FTP 服務(wù)器中手動(dòng)啟用數(shù)據(jù)加密服務(wù);我們會(huì)介紹使用 SSL/TLS 證書(shū)保護(hù) VSFTPD(Very Secure FTP Daemon)服務(wù)的各個(gè)步驟。

前提條件：

• 你必須已經(jīng)在 CentOS 7 中安裝和配置 FTP 服務(wù) 。

在我們開(kāi)始之前，要注意本文中所有命令都以 root 用戶運(yùn)行，否則，如果現(xiàn)在你不是使用 root 用戶控制服務(wù)器，你可以使用 sudo 命令 去獲取 root 權(quán)限。

第一步：生成 SSL/TLS 證書(shū)和密鑰

1、 我們首先要在 /etc/ssl 目錄下創(chuàng)建用于保存 SSL/TLS 證書(shū)和密鑰文件的子目錄：

# mkdir /etc/ssl/private 

2、 然后運(yùn)行下面的命令為 vsftpd 創(chuàng)建證書(shū)和密鑰并保存到一個(gè)文件中，下面會(huì)解析使用的每個(gè)選項(xiàng)。

• req - 是 X.509 Certificate Signing Request (CSR，證書(shū)簽名請(qǐng)求)管理的一個(gè)命令。
• x509 - X.509 證書(shū)數(shù)據(jù)管理。
• days - 定義證書(shū)的有效日期。
• newkey - 指定證書(shū)密鑰處理器。
• rsa:2048 - RSA 密鑰處理器，會(huì)生成一個(gè) 2048 位的密鑰。
• keyout - 設(shè)置密鑰存儲(chǔ)文件。
• out - 設(shè)置證書(shū)存儲(chǔ)文件，注意證書(shū)和密鑰都保存在一個(gè)相同的文件：/etc/ssl/private/vsftpd.pem。

# openssl req -x509 -nodes -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem -days 365 -newkey rsa:2048 

上面的命令會(huì)讓你回答以下的問(wèn)題，記住使用你自己情況的值。

Country Name (2 letter code) [XX]:IN 
State or Province Name (full name) []:Lower Parel 
Locality Name (eg, city) [Default City]:Mumbai 
Organization Name (eg, company) [Default Company Ltd]:TecMint.com 
Organizational Unit Name (eg, section) []:Linux and Open Source 
Common Name (eg, your name or your server's hostname) []:tecmint 
Email Address []:admin@tecmint.com 

第二步：配置 VSFTPD 使用 SSL/TLS

3、 在我們進(jìn)行任何 VSFTPD 配置之前，首先開(kāi)放 990 和 40000-50000 端口，以便在 VSFTPD 配置文件中分別定義 TLS 連接的端口和被動(dòng)端口的端口范圍：

# firewall-cmd --zone=public --permanent --add-port=990/tcp 
# firewall-cmd --zone=public --permanent --add-port=40000-50000/tcp 
# firewall-cmd --reload 

4、 現(xiàn)在，打開(kāi) VSFTPD 配置文件并在文件中指定 SSL 的詳細(xì)信息：

# vi /etc/vsftpd/vsftpd.conf 

找到 ssl_enable 選項(xiàng)把它的值設(shè)置為 YES 激活使用 SSL，另外，由于 TSL 比 SSL 更安全，我們會(huì)使用 ssl_tlsv1_2 選項(xiàng)讓 VSFTPD 使用更嚴(yán)格的 TLS：

ssl_enable=YES 
ssl_tlsv1_2=YES 
ssl_sslv2=NO 
ssl_sslv3=NO 

5、 然后，添加下面的行來(lái)定義 SSL 證書(shū)和密鑰文件的位置：

rsa_cert_file=/etc/ssl/private/vsftpd.pem 
rsa_private_key_file=/etc/ssl/private/vsftpd.pem 

6、 下面，我們要阻止匿名用戶使用 SSL，然后強(qiáng)制所有非匿名用戶登錄使用安全的 SSL 連接進(jìn)行數(shù)據(jù)傳輸和登錄過(guò)程中的密碼發(fā)送：

allow_anon_ssl=NO 
force_local_data_ssl=YES 
force_local_logins_ssl=YES 

7、 另外，我們還可以添加下面的選項(xiàng)增強(qiáng) FTP 服務(wù)器的安全性。當(dāng)選項(xiàng) require_ssl_reuse 被設(shè)置為 YES 時(shí)，要求所有 SSL 數(shù)據(jù)連接都會(huì)重用 SSL 會(huì)話;這樣它們會(huì)知道控制通道的主密碼。

因此，我們需要把它關(guān)閉。

require_ssl_reuse=NO 

另外，我們還要用 ssl_ciphers 選項(xiàng)選擇 VSFTPD 允許用于加密 SSL 連接的 SSL 算法。這可以極大地限制那些嘗試發(fā)現(xiàn)使用存在缺陷的特定算法的攻擊者：

ssl_ciphers=HIGH 

8、 現(xiàn)在，設(shè)置被動(dòng)端口的端口范圍(最小和最大端口)。

pasv_min_port=40000 
pasv_max_port=50000 

9、 選擇性啟用 debug_ssl 選項(xiàng)以允許 SSL 調(diào)試，這意味著 OpenSSL 連接診斷會(huì)被記錄到 VSFTPD 日志文件：

debug_ssl=YES 

保存所有更改并關(guān)閉文件。然后讓我們重啟 VSFTPD 服務(wù)：

# systemctl restart vsftpd 

第三步：用 SSL/TLS 連接測(cè)試 FTP 服務(wù)器

10、 完成上面的所有配置之后，像下面這樣通過(guò)在命令行中嘗試使用 FTP 測(cè)試 VSFTPD 是否使用 SSL/TLS 連接：

# ftp 192.168.56.10 
Connected to 192.168.56.10  (192.168.56.10). 
220 Welcome to TecMint.com FTP service. 
Name (192.168.56.10:root) : ravi 
530 Non-anonymous sessions must use encryption. 
Login failed. 
421 Service not available, remote server has closed connection 
ftp> 

驗(yàn)證 FTP SSL 安全連接

從上面的截圖中，我們可以看到這里有個(gè)錯(cuò)誤提示我們 VSFTPD 只允許用戶從支持加密服務(wù)的客戶端登錄。

命令行并不會(huì)提供加密服務(wù)因此產(chǎn)生了這個(gè)錯(cuò)誤。因此，為了安全地連接到服務(wù)器，我們需要一個(gè)支持 SSL/TLS 連接的 FTP 客戶端，例如 FileZilla。

第四步：安裝 FileZilla 以便安全地連接到 FTP 服務(wù)器

11、 FileZilla 是一個(gè)現(xiàn)代化、流行且重要的跨平臺(tái)的 FTP 客戶端，它默認(rèn)支持 SSL/TLS 連接。

要在 Linux 上安裝 FileZilla，可以運(yùn)行下面的命令：

--------- On CentOS/RHEL/Fedora ---------  
# yum install epel-release filezilla 
--------- On Debian/Ubuntu --------- 
$ sudo apt-get install  filezilla    

12、 當(dāng)安裝完成后(或者你已經(jīng)安裝了該軟件)，打開(kāi)它，選擇 File => Sites Manager 或者按 Ctrl + S 打開(kāi) Site Manager 界面。

點(diǎn)擊 New Site 按鈕添加一個(gè)新的站點(diǎn)/主機(jī)連接詳細(xì)信息。

在 FileZilla 中添加新 FTP 站點(diǎn)

下一步，像下面這樣設(shè)置主機(jī)/站點(diǎn)名稱、添加 IP 地址、定義使用的協(xié)議、加密和登錄類型(使用你自己情況的值)：

Host:  192.168.56.10 
Protocol:  FTP – File Transfer Protocol 
Encryption:  Require explicit FTP over   #recommended  
Logon Type: Ask for password            #recommended  
User: username 

在 Filezilla 中添加 FTP 服務(wù)器詳細(xì)信息

14、 然后點(diǎn)擊 Connect，再次輸入密碼，然后驗(yàn)證用于 SSL/TLS 連接的證書(shū)，再一次點(diǎn)擊 OK 連接到 FTP 服務(wù)器：

驗(yàn)證 FTP SSL 證書(shū)

到了這里，我們應(yīng)該使用 TLS 連接成功地登錄到了 FTP 服務(wù)器，在下面的界面中檢查連接狀態(tài)部分獲取更多信息。

通過(guò) TLS/SSL 連接到 FTP 服務(wù)器

15、 最后，在文件目錄嘗試 從本地傳輸文件到 FTP 服務(wù)器，看 FileZilla 界面后面的部分查看文件傳輸相關(guān)的報(bào)告。

使用 FTP 安全地傳輸文件

就是這些。記住 FTP 默認(rèn)是不安全的，除非我們像上面介紹的那樣配置它使用 SSL/TLS 連接。在下面的評(píng)論框中和我們分享你關(guān)于這篇文章/主題的想法吧。