帮酷LOGO
0 0 评论
文章标签:SSL  secure  

简单地说vsFTPd是一个轻量级的软件,具有很强的自定义能力,是非常安全的FTP程序。在本教程中,我们将使用自签名SSL/TLS证书来保护Debian系统上已有的vsFTPd安装。尽管它是为Debian编写的,它应该能在大多数Linux发行版上工作,比如,Ubuntu和CentOS 。


vsFTPd的安装

在新的Linux VPS上,你需要先安装vsFTPd ,虽然,你将在本教程中看到安装vsFTPd的基本步骤,但是,我建议你同时阅读这两个更详细的教程: 在Debian Ubuntu上设置vsFTPd和在CentOS上安装vsFTPd,有关安装的步骤都将更详细地解释。

Debian/Ubuntu上的安装:


apt-get install vsftpd

在CentOS上安装:


yum install epel-release
yum install vsftpd

配置打开配置文件: /etc/vsftpd.conf在你喜欢的文本编辑器中,在本教程中我们使用nano


nano /etc/vsftpd.conf

将以下行粘贴到配置中:


anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

通过重新启动vsFTPd守护进程完成以下操作:


/etc/init.d/vsftpd restart


生成自签名证书

自签名证书通常用于公钥协商协议,你现在将使用openssl生成公钥和相应的私钥,首先,我们需要创建一个目录来存储这两个密钥文件,最好在安全的位置。


mkdir -p /etc/vsftpd/ssl

现在,我们将密钥存储在同一文件(/etc/vsftpd/ssl/vsftpd.pem )中:


openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

执行命令后,你将被询问一些问题,如国家代码,州,城市,组织名等等使用你自己或你的组织信息,最重要的一行是Common name,它必须与VPS的IP地址匹配,或者是一个指向它的域名。

此证书的有效期为365天(1年),它将使用密钥长度为4096位的RSA密钥协议协议,包含这两个密钥的文件将存储在我们刚创建的新目录中。


在vsFTPd中安装新证书

要开始使用新证书,并且提供加密,我们需要再次打开配置文件:


nano /etc/vsftpd.conf

我们需要将路径添加到新证书和密钥文件中,


rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

我们必须添加此行以确保启用了SSL :

 
ssl_enable=YES

 

我们可以选择阻止匿名用户使用SSL,因为在公共FTP服务器上不需要加密。

 
allow_anon_ssl=NO

 

接下来我们需要指定什么时候使用ssl/tls,这将对数据传输和登录凭证启用加密,


force_local_data_ssl=YES
force_local_logins_ssl=YES

我们还可以指定要使用的版本和协议,TLS通常比SSL更安全,因此我们可以允许TLS,同时阻止旧版本的SSL 。


ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO


require_ssl_reuse=YES
ssl_ciphers=HIGH

通过重新启动vsftpd守护进程完成


/etc/init.d/vsftpd restart


确认安装

就这样,你现在应该能够连接到你的服务器,并且确认一切都正常,如果使用FileZilla,则应该在连接时打开包含组织信息(或者你在早期生成证书时输入)的对话框,然后输出应该类似于下面这样:


Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

要了解有关vsFTPd的更多信息,请查阅它的手册页:

 
man vsftpd

 


文章标签:secure  SSL  

Copyright © 2011 HelpLib All rights reserved.    知识分享协议 京ICP备05059198号-3  |  如果智培  |  酷兔英语