爲了解決暴露在公網的 FTP 傳輸的安全,我們必須對 vsftpd 進行配置 ssl
一、建立證書
1.檢查 vsftpd 是否支持 ssl 模塊
# ldd $(which vsftpd) | grep ssl
2.建立專門給vsftpd使用的憑證數據。CentOS有一個建立憑證的地方/etc/pki/tls/certs/
# cd /etc/pki/tls/certs
生成密鑰文件
# make vsftpd.pem
# 複製證書到vsftpd目錄
# cp -a vsftpd.pem /etc/vsftpd/
# ll /etc/vsftpd/vsftpd.pem
證書配置解析:
Country Name (2 letter code) [XX]:CN 國家名稱(2個字母代碼)[XX]:CN
State or Province Name (full name) []:CHINA 國家或省名(全稱)[]:中國
Locality Name (eg, city) [Default City]:CHINA 地名(如城市)[默認城市]:中國
Organization Name (eg, company) [Default Company Ltd]:ORG 組織名稱(如公司)[默認公司有限公司]:ORG
Organizational Unit Name (eg, section) []:ORG 組織單元名稱(例如,節)[]:ORG
Common Name (eg, your name or your server's hostname) []:NAME 常用名稱(例如,您的名稱或服務器的主機名)[]:Name
Email Address []:[email protected] 電子郵件地址[]:[email protected]
二、修改 vsftpd.conf 配置文件
1.修改 vsftpd.conf 配置文件
停止服務
# service vsftpd stop
在最後加上以下配置
ssl_enable=YES
allow_anon_ssl=YES
force_anon_data_ssl=YES
force_anon_logins_ssl=YES
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
rsa_cert_file=/etc/vsftpd/vsftpd.pem
listen_port=7758
配置解析:
###SSL#####
# 是否啓用SSL,默認值:NO
ssl_enable=YES
#
# 僅適用於 ssl_enable 活動。如果設置爲YES,匿名用戶將被允許使用安全的SSL連接
默認值:NO
allow_anon_ssl=YES
#
# 僅適用於 ssl_enable 激活。如果激活,所有匿名登錄將被強制使用安全的SSL連接,以便在數據連接上發送和接收數據。默認值:NO
force_anon_data_ssl=YES
#
# 僅適用於 ssl_enable 激活。如果激活,所有匿名登錄將被強制使用安全的SSL連接以發送密碼。默認值:NO
force_anon_logins_ssl=YES
#
# 僅適用於 ssl_enable 激活。如果激活,所有非匿名登錄將被強制使用安全的SSL連接,以便在數據連接上發送和接收數據。默認值:YES
force_local_data_ssl=YES
#
# 僅適用於 ssl_enable 激活。如果激活,所有非匿名登錄將被強制使用安全的SSL連接以發送密碼。默認值:YES
force_local_logins_ssl=YES
#
# 僅適用於 ssl_enable 激活。如果啓用,此選項將允許TLS v1協議連接。TLS v1連接是首選。默認值:YES
ssl_tlsv1=YES
#
# 僅適用於 ssl_enable 激活。如果啓用,此選項將允許SSL v2協議連接。TLS v1連接是首選。默認值:NO
#ssl_sslv2=NO
#
# 僅適用於 ssl_enable 激活。如果啓用,此選項將允許SSL v3協議連接。TLS v1連接是首選。默認值:NO
#ssl_sslv3=NO
#
# 選項指定用於SSL加密連接的RSA證書的位置。默認值:/usr/share/ssl/certs/vsftpd.pem
rsa_cert_file=/etc/vsftpd/vsftpd.pem
2.最後保存,重啓服務就OK了
#啓動服務
service vsftpd start
#重啓服務
service vsftpd restart
三、連接 Vsftpd
在連接的時候勾選信任證書就行
重新連接發現問題已經解決了:注意端口號(我的是7758)
