在一开始的设计中,ftp(文件传输协议)就是不安全的,意味着它不会加密两台机器之间传输的数据以及用户的凭据。这使得数据和服务器安全面临很大威胁。
在这篇文章中,我们会介绍在 centos/rhel 7 以及 fedora 中如何在 ftp 服务器中手动启用数据加密服务;我们会介绍使用 ssl/tls 证书保护 vsftpd(very secure ftp daemon)服务的各个步骤。
前提条件:
你必须已经在 centos 7 中安装和配置 ftp 服务 。
在我们开始之前,要注意本文中所有命令都以 root 用户运行,否则,如果现在你不是使用 root 用户控制服务器,你可以使用 sudo 命令 去获取 root 权限。
第一步:生成 ssl/tls 证书和密钥
1、 我们首先要在 /etc/ssl 目录下创建用于保存 ssl/tls 证书和密钥文件的子目录:
# mkdir /etc/ssl/private
2、 然后运行下面的命令为 vsftpd 创建证书和密钥并保存到一个文件中,下面会解析使用的每个选项。
req - 是 x.509 certificate signing request (csr,证书签名请求)管理的一个命令。
x509 - x.509 证书数据管理。
days - 定义证书的有效日期。
newkey - 指定证书密钥处理器。
rsa:2048 - rsa 密钥处理器,会生成一个 2048 位的密钥。
keyout - 设置密钥存储文件。
out - 设置证书存储文件,注意证书和密钥都保存在一个相同的文件:/etc/ssl/private/vsftpd.pem。
# openssl req -x509 -nodes -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem -days 365 -newkey rsa:2048
上面的命令会让你回答以下的问题,记住使用你自己情况的值。
country name (2 letter code) [xx]:in
state or province name (full name) []:lower parel
locality name (eg, city) [default city]:mumbai
organization name (eg, company) [default company ltd]:tecmint.com
organizational unit name (eg, section) []:linux and open source
common name (eg, your name or your server's hostname) []:tecmint
email address []:[email protected]
第二步:配置 vsftpd 使用 ssl/tls
3、 在我们进行任何 vsftpd 配置之前,首先开放 990 和 40000-50000 端口,以便在 vsftpd 配置文件中分别定义 tls 连接的端口和被动端口的端口范围:
# firewall-cmd --zone=public --permanent --add-port=990/tcp
# firewall-cmd --zone=public --permanent --add-port=40000-50000/tcp
# firewall-cmd --reload
4、 现在,打开 vsftpd 配置文件并在文件中指定 ssl 的详细信息:
# vi /etc/vsftpd/vsftpd.conf
找到 ssl_enable 选项把它的值设置为 yes 激活使用 ssl,另外,由于 tsl 比 ssl 更安全,我们会使用 ssl_tlsv1_2 选项让 vsftpd 使用更严格的 tls:
ssl_enable=yes
ssl_tlsv1_2=yes
ssl_sslv2=no
ssl_sslv3=no
5、 然后,添加下面的行来定义 ssl 证书和密钥文件的位置:
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
6、 下面,我们要阻止匿名用户使用 ssl,然后强制所有非匿名用户登录使用安全的 ssl 连接进行数据传输和登录过程中的密码发送:
allow_anon_ssl=no
force_local_data_ssl=yes
force_local_logins_ssl=yes
7、 另外,我们还可以添加下面的选项增强 ftp 服务器的安全性。当选项 require_ssl_reuse 被设置为 yes 时,要求所有 ssl 数据连接都会重用 ssl 会话;这样它们会知道控制通道的主密码。
因此,我们需要把它关闭。
require_ssl_reuse=no
另外,我们还要用 ssl_ciphers 选项选择 vsftpd 允许用于加密 ssl 连接的 ssl 算法。这可以极大地限制那些尝试发现使用存在缺陷的特定算法的攻击者:
ssl_ciphers=high
8、 现在,设置被动端口的端口范围(最小和最大端口)。
pasv_min_port=40000
pasv_max_port=50000
9、 选择性启用 debug_ssl 选项以允许 ssl 调试,这意味着 openssl 连接诊断会被记录到 vsftpd 日志文件:
debug_ssl=yes
保存所有更改并关闭文件。然后让我们重启 vsftpd 服务:
# systemctl restart vsftpd
第三步:用 ssl/tls 连接测试 ftp 服务器
10、 完成上面的所有配置之后,像下面这样通过在命令行中尝试使用 ftp 测试 vsftpd 是否使用 ssl/tls 连接:
# ftp 192.168.56.10
connected to 192.168.56.10 (192.168.56.10).
220 welcome to tecmint.com ftp service.
name (192.168.56.10:root) : ravi
530 non-anonymous sessions must use encryption.
login failed.
421 service not available, remote server has closed connection
ftp>
验证 ftp ssl 安全连接
从上面的截图中,我们可以看到这里有个错误提示我们 vsftpd 只允许用户从支持加密服务的客户端登录。
命令行并不会提供加密服务因此产生了这个错误。因此,为了安全地连接到服务器,我们需要一个支持 ssl/tls 连接的 ftp 客户端,例如 filezilla。
第四步:安装 filezilla 以便安全地连接到 ftp 服务器
11、 filezilla 是一个现代化、流行且重要的跨平台的 ftp 客户端,它默认支持 ssl/tls 连接。
要在 linux 上安装 filezilla,可以运行下面的命令:
--------- on centos/rhel/fedora ---------
# yum install epel-release filezilla
--------- on debian/ubuntu ---------
$ sudo apt-get install filezilla
12、 当安装完成后(或者你已经安装了该软件),打开它,选择 file => sites manager 或者按 ctrl + s 打开 site manager 界面。
点击 new site 按钮添加一个新的站点/主机连接详细信息。
在 filezilla 中添加新 ftp 站点
下一步,像下面这样设置主机/站点名称、添加 ip 地址、定义使用的协议、加密和登录类型(使用你自己情况的值):
host: 192.168.56.10
protocol: ftp – file transfer protocol
encryption: require explicit ftp over #recommended
logon type: ask for password #recommended
user: username
在 filezilla 中添加 ftp 服务器详细信息
14、 然后点击 connect,再次输入密码,然后验证用于 ssl/tls 连接的证书,再一次点击 ok 连接到 ftp 服务器:
验证 ftp ssl 证书
到了这里,我们应该使用 tls 连接成功地登录到了 ftp 服务器,在下面的界面中检查连接状态部分获取更多信息。
通过 tls/ssl 连接到 ftp 服务器
15、 最后,在文件目录尝试 从本地传输文件到 ftp 服务器,看 filezilla 界面后面的部分查看文件传输相关的报告。
使用 ftp 安全地传输文件
就是这些。记住 ftp 默认是不安全的,除非我们像上面介绍的那样配置它使用 ssl/tls 连接。在下面的评论框中和我们分享你关于这篇文章/主题的想法吧。
作者:aaron kili
来源:51cto