閱讀629 返回首頁    go 阿裏雲 go 技術社區[雲棲]

在 Ubuntu 上使用 SSL/TLS 搭建一個安全的 FTP 服務器

在遵循本指南中的各個步驟之後,我們將了解在 FTP 服務器中啟用加密服務的基本原理,以確保安全的數據傳輸至關重要。

要求

在我們進行下一步之前,確保本文中的所有命令都將以root身份或者 sudo 特權賬號運行。

第一步:在 Ubuntu 上為 FTP 生成 SSL/TLS 證書

1、我們將首先在 /etc/ssl/ 下創建一個子目錄來存儲 SSL/TLS 證書和密鑰文件,如果它不存在的話這樣做:



  1. $ sudo mkdir /etc/ssl/private


2、 現在我們在一個單一文件中生成證書和密鑰,運行下麵的命令:




  1. $ sudo openssl req -x509 -nodes -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem -days 365 -newkey rsa:2048


上麵的命令將提示你回答以下問題,不要忘了輸入合適於你情況的值:




    

  1. Country Name (2 letter code) [XX]:IN
    2. 

  2. State or Province Name (full name) []:Lower Parel
    3. 

  3. Locality Name (eg, city) [Default City]:Mumbai
    4. 

  4. Organization Name (eg, company) [Default Company Ltd]:TecMint.com
    5. 

  5. Organizational Unit Name (eg, section) []:Linux and Open Source
    6. 

  6. Common Name (eg, your name or your server's hostname) []:tecmint
    7. 

  7. Email Address []:admin@tecmint.com
    8. 




第二步:在 Ubuntu 上配置 vsftpd 來使用 SSL/TLS


3、在我們進行 vsftpd 配置之前,對於那些已啟用 UFW 防火牆的用戶,你們必須打開端口 990 和 40000 -50000,來在 vsftpd 配置文件中分別啟用 TLS 連接端口和被動端口的端口範圍:




    

  1. $ sudo ufw allow 990/tcp
    2. 

  2. $ sudo ufw allow 40000:50000/tcp
    3. 

  3. $ sudo ufw status
    4. 



4、現在,打開 vsftpd 配置文件並定義 SSL 詳細信息:




    

  1. $ sudo vi /etc/vsftpd/vsftpd.conf
    2. 

    3. 

  3. $ sudo nano /etc/vsftpd/vsftpd.conf
    4. 



然後,添加或找到選項 ssl_enable,並將它的值設置為 YES 來激活使用 SSL ,同樣,因為 TLS 比 SSL 更安全,我們將通過啟用 ssl_tlsv1 選項限製 vsftpd 隻使用 TLS:




    

  1. ssl_enable=YES
    2. 

  2. ssl_tlsv1=YES
    3. 

  3. ssl_sslv2=NO
    4. 

  4. ssl_sslv3=NO
    5. 



5、 接下來,使用  字符注釋掉下麵的行,如下所示:




    

  1. #rsa_cert_file=/etc/ssl/private/ssl-cert-snakeoil.pem
    2. 

  2. #rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
    3. 



然後,添加以下行以定義 SSL 證書和密鑰文件的位置(LCTT 譯注:或徑直修改也可):




    

  1. rsa_cert_file=/etc/ssl/private/vsftpd.pem
    2. 

  2. rsa_private_key_file=/etc/ssl/private/vsftpd.pem
    3. 



6、現在,我們也可以阻止匿名用戶使用 SSL 登錄,並且迫使所有的非匿名登錄使用安全的 SSL 鏈接來傳輸數據和在登錄期間發送密碼:




    

  1. allow_anon_ssl=NO
    2. 

  2. force_local_data_ssl=YES
    3. 

  3. force_local_logins_ssl=YES
    4. 



7、此外,我們可以使用以下選項在 FTP 服務器中添加更多的安全功能 。對於選項 require_ssl_reuse=YES,它表示所有的 SSL 數據鏈接都需重用已經建立的 SSL 會話(需要證明客戶端擁有 FTP 控製通道的主密鑰),但是一些客戶端不支持它,如果沒有客戶端問題,出於安全原因不應該關閉(默認開啟)。(LCTT 譯注:原文此處理解有誤,譯者修改。)




  1. require_ssl_reuse=NO


此外,我們可以通過 ssl_ciphers 選項來設置 vsftpd 允許使用那些加密算法。 這將有助於挫敗攻擊者使用那些已經發現缺陷的加密算法的嚐試:




  1. ssl_ciphers=HIGH


8、 然後,我們定義被動端口的端口範圍(最小和最大端口)。




    

  1. pasv_min_port=40000
    2. 

  2. pasv_max_port=50000
    3. 



9、 要啟用 SSL 調試,把 openSSL 連接診斷記錄到 vsftpd 日誌文件中,我們可以使用 debug_ssl 選項:




  1. debug_ssl=YES


最後,保存配置文件並且關閉它。然後重啟 vsftpd 服務:




  1. $ systemctl restart vsftpd



第三步:在 Ubuntu 上使用 SSL / TLS 連接驗證 FTP


10、 執行所有上述配置後,通過嚐試在命令行中使用 FTP 來測試 vsftpd 是否現在使用了 SSL / TLS 連接,如下所示。


從下麵的輸出來看,這裏有一個錯誤的信息告訴我們 vsftpd 僅允許用戶(非匿名用戶)從支持加密服務的安全客戶端登錄。




    

  1. $ ftp 192.168.56.10
    2. 

  2. Connected to 192.168.56.10 (192.168.56.10).
    3. 

  3. 220 Welcome to TecMint.com FTP service.
    4. 

  4. Name (192.168.56.10:root) : ravi
    5. 

  5. 530 Non-anonymous sessions must use encryption.
    6. 

  6. Login failed.
    7. 

  7. 421 Service not available, remote server has closed connection
    8. 

  8. ftp>
    9. 



該命令不支持加密服務從而導致了上述錯誤。因此,要安全連接到啟用了加密服務的 FTP 服務器,我們需要一個默認支持 SSL/TLS 連接的 FTP 客戶端,例如 FileZilla。



第四步:在客戶端上安裝FileZillaStep來安全地連接FTP


11、FileZilla 是一個強大的,廣泛使用的跨平台 FTP 客戶端,支持在 SSL/TLS 上的 FTP。為了在 Linux 客戶端機器上安裝 FileZilla,使用下麵的命令。




    

  1. --------- On Debian/Ubuntu ---------
    2. 

  2. $ sudo apt-get install filezilla 
    3. 

  3. --------- On CentOS/RHEL/Fedora --------- 
    4. 

  4. # yum install epel-release filezilla
    5. 

  5. --------- On Fedora 22+ --------- 
    6. 

  6. $ sudo dnf install filezilla
    7. 



12、 一旦安裝完成,打開它然後點擊File=>Sites Manager或者(按Ctrl+S)來獲取下麵的Site Manager。


Filezilla Site Manager


Filezilla Site Manager


13、 現在,定義主機/站點名字,添加 IP 地址,定義使用的協議,加密和登錄類型,如下麵的屏幕(使用適用於你方案的值):


點擊 New Site 按鈕來配置一個新的站點/主機連接。


    

  • Host: 192.168.56.10
    • 

  • Protocol: FTP – File Transfer Protocol
    • 

  • Encryption: Require explicit FTP over #推薦
    • 

  • Logon Type: Ask for password #推薦
    • 

  • User: 用戶名
    • 



在 Filezilla 上配置新的 FTP 站點


在 Filezilla 上配置新的 FTP 站點


14、 然後從上麵的界麵單擊連接以輸入密碼,然後驗證用於 SSL / TLS 連接的證書,並再次單擊確定以連接到 FTP 服務器:


驗證 FTP 的 SSL 證書


驗證 FTP 的 SSL 證書


15、現在,你應該通過 TLS 連接成功地登錄到了 FTP 服務器,檢查連接狀態部分,來獲取有關下麵接口的更多信息。


連接 Ubuntu 的 FTP 服務器


連接 Ubuntu 的 FTP 服務器


16、 最後,讓我們在文件夾中從本地的機器傳送文件到 FTP 服務器, 查看 FileZilla 界麵的下端來查看有關文件傳輸的報告。


使用 Filezilla 安全的傳輸 FTP 文件


使用 Filezilla 安全的傳輸 FTP 文件


就這樣! 始終記住,安裝 FTP 服務器而不啟用加密服務具有某些安全隱患。 正如我們在本教程中解釋的,您可以在 Ubuntu 16.04 / 16.10 中配置 FTP 服務器使用 SSL / TLS 連接來實現安全性。


原文發布時間為:2017-03-12


本文來自雲棲社區合作夥伴“Linux中國”


最後更新:2017-05-24 16:02:59
  上一篇:go  Linux 中 7 個判斷文件係統類型的方法 
  下一篇:go  微軟愛上 Linux:當 PowerShell 來到 Linux 時