在 Ubuntu 上使用 SSL/TLS 搭建一个安全的 FTP 服务器

在遵循本指南中的各个步骤之后,我们将了解在 FTP 服务器中启用加密服务的基本原理,以确保安全的数据传输至关重要。

要求

在我们进行下一步之前,确保本文中的所有命令都将以root身份或者 sudo 特权账号运行。

第一步:在 Ubuntu 上为 FTP 生成 SSL/TLS 证书

1、我们将首先在 /etc/ssl/ 下创建一个子目录来存储 SSL/TLS 证书和密钥文件,如果它不存在的话这样做:



    

  1. $ sudo mkdir /etc/ssl/private
    2. 



2、 现在我们在一个单一文件中生成证书和密钥,运行下面的命令:




    

  1. $ sudo openssl req -x509 -nodes -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem -days 365 -newkey rsa:2048
    2. 



上面的命令将提示你回答以下问题,不要忘了输入合适于你情况的值:




    

  1. Country Name (2 letter code) [XX]:IN
    2. 

  2. State or Province Name (full name) []:Lower Parel
    3. 

  3. Locality Name (eg, city) [Default City]:Mumbai
    4. 

  4. Organization Name (eg, company) [Default Company Ltd]:TecMint.com
    5. 

  5. Organizational Unit Name (eg, section) []:Linux and Open Source
    6. 

  6. Common Name (eg, your name or your server's hostname) []:tecmint
    7. 

  7. Email Address []:admin@tecmint.com
    8. 



第二步:在 Ubuntu 上配置 vsftpd 来使用 SSL/TLS


3、在我们进行 vsftpd 配置之前,对于那些已启用 UFW 防火墙的用户,你们必须打开端口 990 和 40000 -50000,来在 vsftpd 配置文件中分别启用 TLS 连接端口和被动端口的端口范围:




    

  1. $ sudo ufw allow 990/tcp
    2. 

  2. $ sudo ufw allow 40000:50000/tcp
    3. 

  3. $ sudo ufw status
    4. 



4、现在,打开 vsftpd 配置文件并定义 SSL 详细信息:




    

  1. $ sudo vi /etc/vsftpd/vsftpd.conf
    2. 

    3. 

  3. $ sudo nano /etc/vsftpd/vsftpd.conf
    4. 



然后,添加或找到选项 ssl_enable,并将它的值设置为 YES 来激活使用 SSL ,同样,因为 TLS 比 SSL 更安全,我们将通过启用 ssl_tlsv1 选项限制 vsftpd 只使用 TLS:




    

  1. ssl_enable=YES
    2. 

  2. ssl_tlsv1=YES
    3. 

  3. ssl_sslv2=NO
    4. 

  4. ssl_sslv3=NO
    5. 



5、 接下来,使用  字符注释掉下面的行,如下所示:




    

  1. #rsa_cert_file=/etc/ssl/private/ssl-cert-snakeoil.pem
    2. 

  2. #rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
    3. 



然后,添加以下行以定义 SSL 证书和密钥文件的位置(LCTT 译注:或径直修改也可):




    

  1. rsa_cert_file=/etc/ssl/private/vsftpd.pem
    2. 

  2. rsa_private_key_file=/etc/ssl/private/vsftpd.pem
    3. 



6、现在,我们也可以阻止匿名用户使用 SSL 登录,并且迫使所有的非匿名登录使用安全的 SSL 链接来传输数据和在登录期间发送密码:




    

  1. allow_anon_ssl=NO
    2. 

  2. force_local_data_ssl=YES
    3. 

  3. force_local_logins_ssl=YES
    4. 



7、此外,我们可以使用以下选项在 FTP 服务器中添加更多的安全功能 。对于选项 require_ssl_reuse=YES,它表示所有的 SSL 数据链接都需重用已经建立的 SSL 会话(需要证明客户端拥有 FTP 控制通道的主密钥),但是一些客户端不支持它,如果没有客户端问题,出于安全原因不应该关闭(默认开启)。(LCTT 译注:原文此处理解有误,译者修改。)




    

  1. require_ssl_reuse=NO
    2. 



此外,我们可以通过 ssl_ciphers 选项来设置 vsftpd 允许使用那些加密算法。 这将有助于挫败攻击者使用那些已经发现缺陷的加密算法的尝试:




    

  1. ssl_ciphers=HIGH
    2. 



8、 然后,我们定义被动端口的端口范围(最小和最大端口)。




    

  1. pasv_min_port=40000
    2. 

  2. pasv_max_port=50000
    3. 



9、 要启用 SSL 调试,把 openSSL 连接诊断记录到 vsftpd 日志文件中,我们可以使用 debug_ssl 选项:




    

  1. debug_ssl=YES
    2. 



最后,保存配置文件并且关闭它。然后重启 vsftpd 服务:




    

  1. $ systemctl restart vsftpd
    2. 



第三步:在 Ubuntu 上使用 SSL / TLS 连接验证 FTP


10、 执行所有上述配置后,通过尝试在命令行中使用 FTP 来测试 vsftpd 是否现在使用了 SSL / TLS 连接,如下所示。


从下面的输出来看,这里有一个错误的信息告诉我们 vsftpd 仅允许用户(非匿名用户)从支持加密服务的安全客户端登录。




    

  1. $ ftp 192.168.56.10
    2. 

  2. Connected to 192.168.56.10  (192.168.56.10).
    3. 

  3. 220 Welcome to TecMint.com FTP service.
    4. 

  4. Name (192.168.56.10:root) : ravi
    5. 

  5. 530 Non-anonymous sessions must use encryption.
    6. 

  6. Login failed.
    7. 

  7. 421 Service not available, remote server has closed connection
    8. 

  8. ftp>
    9. 



该命令不支持加密服务从而导致了上述错误。因此,要安全连接到启用了加密服务的 FTP 服务器,我们需要一个默认支持 SSL/TLS 连接的 FTP 客户端,例如 FileZilla。


第四步:在客户端上安装FileZillaStep来安全地连接FTP


11、FileZilla 是一个强大的,广泛使用的跨平台 FTP 客户端,支持在 SSL/TLS 上的 FTP。为了在 Linux 客户端机器上安装 FileZilla,使用下面的命令。




    

  1. --------- On Debian/Ubuntu ---------
    2. 

  2. $ sudo apt-get install filezilla   
    3. 

  3. --------- On CentOS/RHEL/Fedora --------- 
    4. 

  4. # yum install epel-release filezilla
    5. 

  5. --------- On Fedora 22+ --------- 
    6. 

  6. $ sudo dnf install filezilla
    7. 



12、 一旦安装完成,打开它然后点击File=>Sites Manager或者(按Ctrl+S)来获取下面的Site Manager。




Filezilla Site Manager


13、 现在,定义主机/站点名字,添加 IP 地址,定义使用的协议,加密和登录类型,如下面的屏幕(使用适用于你方案的值):


点击 New Site 按钮来配置一个新的站点/主机连接。


    

  • Host: 192.168.56.10
    • 

  • Protocol: FTP – File Transfer Protocol
    • 

  • Encryption: Require explicit FTP over #推荐
    • 

  • Logon Type: Ask for password #推荐
    • 

  • User: 用户名
    • 





在 Filezilla 上配置新的 FTP 站点


14、 然后从上面的界面单击连接以输入密码,然后验证用于 SSL / TLS 连接的证书,并再次单击确定以连接到 FTP 服务器:




验证 FTP 的 SSL 证书


15、现在,你应该通过 TLS 连接成功地登录到了 FTP 服务器,检查连接状态部分,来获取有关下面接口的更多信息。




连接 Ubuntu 的 FTP 服务器


16、 最后,让我们在文件夹中从本地的机器传送文件到 FTP 服务器, 查看 FileZilla 界面的下端来查看有关文件传输的报告。




使用 Filezilla 安全的传输 FTP 文件


就这样! 始终记住,安装 FTP 服务器而不启用加密服务具有某些安全隐患。 正如我们在本教程中解释的,您可以在 Ubuntu 16.04 / 16.10 中配置 FTP 服务器使用 SSL / TLS 连接来实现安全性。


原文发布时间为:2017-03-12


本文来自合作伙伴“Linux中国”
				


				
时间: 2024-12-01 23:28:32

		
		


		


	

	
	

		


		
在 Ubuntu 上使用 SSL/TLS 搭建一个安全的 FTP 服务器的相关文章


								

		

			

                教你如何搭建一个安全的Linux服务器教程_Linux
			

		

		

									

				要建立一个安全Linux服务器就首先要了解Linux环境下和网络服务相关的配置文件的含义及如何进行安全的配置.在Linux系统中,TCP/IP网络是通过若干个文本文件进行配置的,也许你需要编辑这些文件来完成联网工作,但是这些配置文件大都可以通过配置命令linuxconf (其中网络部分的配置可以通过netconf命令来实现).下面介绍基本的 TCP/IP网络配置文件. * /etc/conf.modules文件 该配置文件定义了各种需要在激活时加载的模块的参数信息.这里主要着重讨论关于网卡的配置			

		

	

				

		

			

                RHCSA 系列(九): 安装、配置及加固一个 Web 和 FTP 服务器
			

		

		

									

				Web 服务器(也被称为 HTTP 服务器)是在网络中将内容(最为常见的是网页,但也支持其他类型的文件)进行处理并传递给客户端的服务. FTP 服务器是最为古老且最常使用的资源之一(即便到今天也是这样),在身份认证不是必须的情况下,它可通过客户端在一个网络访问文件,因为 FTP 使用没有加密的用户名和密码,所以有些情况下不需要验证也行. 在 RHEL 7 中可用的 web 服务器是版本号为 2.4 的 Apache HTTP 服务器.至于 FTP 服务器,我们将使用 Very Secure Ft			

		

	

				

		

			

                如何搭建一个HTTPS服务端
			

		

		

									

				关于 HTTPS 的基本原理大家都已经不再陌生,今天和大家说说如何搭建一个支持 HTTPS 的服务端. 服务端的 HTTPS HTTPS 已经几乎成为了当前互联网推荐的通信方式,它能最大化保证信息传输的安全,从去年苹果的强制 HTTPS ,到如今各大网站都支持了 HTTPS.它会越来越普及. 之前写过几篇关于 HTTPS 原理的文章,有用户留言希望了解一些如何在服务端搭建 HTTPS 服务的内容,这次就和大家聊聊这个话题. SSL 证书 搭建一个 HTTPS 站点,第一步要做的就是申请 SSL			

		

	

				

		

			

                HTTPS再爆漏洞 企业需升级SSL/TLS加密算法
			

		

		

									

				随着CBC和RC4加密算法的相继"沦陷",依赖SSL/TLS的企业需要引起高度重视,选择更安全的加密算法.498)this.w idth=498;' onmousewheel = 'javascript:return big(this)' alt="" src="http://images.51cto.com/files/uploadimg/20130326/1008000.jpg" />最近, 一个来自数个安全研究学术机构成员组成的团队,			

		

	

				

		

			

                Ubuntu中使用SSL访问国外网站的配置
			

		

		

									

				刚刚介绍了一篇科学上网的文章.不过我手上有免费的ssl,所以这里简单的介绍下如果在ubuntu上利用ssl科学上网的方法. 1. 安装ssh ubuntu默认已经安装了ssh服务端和客户端,但是如果你的机子上没有客户端(因为我们是要科学上网,所以只要客户端就可以了),可以通过简单的命令安装. sudo apt-get install openssh-client 2. 启动和连接 如果你已经拥有了某个ssl的账号,例如账号abc,密码123,你的ssl服务器地址是xxx.xxx.xxx.xxx,			

		

	

				

		

			

                oss php sdk+laravel搭建一个简单网站
			

		

		

									

				背景 目前中小型网站最流行的还是采用php搭建自己的web服务器,一个web服务器都会做动静资源分离,静态资源流量小的话,静态文件可以统一放单独目录用域名独立访问,流量稍大的时候,可以直接托管到阿里云OSS上,需要静态资源时从oss拉取,对请求延时苛刻的还可以用CDN做缓存和加速. 目的 介绍如何如何在30分钟内搭建一个简单的web服务器,采用nignx+php-fpm+laravel+oss-php-sdk 框架 ,静态资源托管到阿里云oss上.实现通过浏览器展示一张图片. 简单的服务器框图			

		

	

				

		

			

                十大最具价值开源软件 MySQL和Ubuntu上榜
			

		

		

									

				[51CTO整理]以下是美国知名科技网站<Inforworld>日前评出了10大最具价值开源软件: 1. Linux内核 Linux是最受欢迎的自由电脑操作系统内核.它是一个用C语言写成,符合POSIX标准的类Unix操作系统.Linux最早是由芬兰黑客 Linus Torvalds为尝试在英特尔x86架构上提供自由免费的类Unix操作系统而开发的.该计划开始于1991年,这里有一份Linus Torvalds当时在Usenet新闻组comp.os.minix所登载的贴子,这份著名的贴子标志着			

		

	

				

		

			

                《D3.js数据可视化实战手册》—— 1.3 搭建一个基于NPM的开发环境
			

		

		

									

				1.3 搭建一个基于NPM的开发环境 D3.js数据可视化实战手册如果你所在的项目是一个略复杂的数据展示项目,并且使用了为数不少的JavaScript库,那我们之前讨论的那个简单的解决方案可能就显得有些褚小杯大,不能胜任了.在这一节当中,我们将展示一个使用了NPM(Node Packaged Modules,实际上就是JavaScript库的代码库管理系统)的更加强大的系统.如果你像我一样没有耐心,想更快地尝试本书最带劲儿的部分,想学点秘传招式,完全可以跳过这部分,如果想搭建一个产品开发环境,再			

		

	

				

		

			

                RHE5服务器管理之搭建FTP服务器步骤分享[图]_FTP服务器
			

		

		

									

				一.FTP工作原理    在一个FTP会话中,存在两个独立的网络连接:控制连接和数据连接.通常情况下,FTP服务器监听端口号21,等待控制连接建立请求.当FTP控制连接建立之后,即可开始传输文件,传输文件的连接称为FTP"FTP数据连接".FTP数据连接即FTP传输数据的过程,它有3种传输模式,即主动传输模式(PORT).被动传输模式(PASSIVE,简称PASV).单端口模式.     主动传输模式:当FTP控制连接建立,客户端提出目录列表及传输文件时,客户端发出PORT命令与服务器