如何在 CentOS VPS 上配置 vsftpd 使用 SSL/TLS

简介: 如何在 CentOS VPS 上配置 vsftpd 使用 SSL/TLS

介绍


FTP(文件传输协议)是一种在本地和远程服务器之间传输文件的方式。尽管非常流行和普遍,但由于其设计中固有的安全性缺失,使用这种文件传输方法已经不再受欢迎。

一个非常有能力的替代方案是SFTP,如上所述。该协议通过SSH实现文件共享。如果你必须使用FTP,你至少应该使用SSL/TLS证书来保护连接。

在本指南中,我们将配置vsftpd在CentOS 6.4 VPS上使用TLS/SSL证书。

安装vsftpd


vsftpd服务器可在CentOS的默认软件库中找到。我们可以通过输入以下命令来安装它:

sudo yum install vsftpd

vsftpd服务器现在已安装在我们的VPS上。我们可以在下一节中配置一些连接选项。

配置vsftpd的基本设置


CentOS上vsftpd的主要配置文件保存在/etc/vsftpd/目录中,名为vsftpd.conf

以root权限在编辑器中打开此文件:

sudo nano /etc/vsftpd/vsftpd.conf

我们需要在此文件中调整一些基本参数,以增加安全性并建立我们的连接选项。

我们首先要做的是禁用匿名用户。虽然这个选项对于一个大型的、面向公众的文件存储(比如公共软件仓库)可能是有意义的,但对于个人FTP服务器来说,这几乎从来都不是一个好主意。

anonymous_enable=NO

由于我们要禁用匿名用户,我们需要提供一种方式让我们的系统对用户进行身份验证。我们将允许本地用户,这意味着vsftpd将使用我们的Linux系统用户和身份验证来确定谁可以登录。

要启用此功能,请确保此选项已设置为:

local_enable=YES

我们还将允许他们具有写访问权限,以便他们可以上传材料和修改内容:

write_enable=YES

我们还希望将我们的用户限制在各自的主目录中。该选项为:

chroot_local_user=YES

这对于基本(非SSL)FTP配置已经足够了。我们将稍后添加SSL功能。

保存并关闭文件。

创建FTP用户


我们选择使用本地用户并将它们限制在其主目录中,创建一个新用户:

sudo adduser ftpuser

通过输入以下命令为新用户分配密码:

sudo passwd ftpuser

CentOS 6.4中的vsftpd版本较旧,因此此部分设置比一些更新版本更容易。

配置vsftpd的SSL


使vsftpd操作与SSL一起的第一步是创建我们的SSL证书。实际上,我们将使用TLS,这是SSL的后继协议,更加安全。

我们将在SSL目录中创建一个子目录来存储我们的文件:

sudo mkdir /etc/ssl/private

要在单个文件中创建证书和密钥,我们可以使用以下命令:

openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem

填写它询问的问题。最重要的是你的服务器的“通用名称”,它将是你用来连接的IP地址或域名。

将SSL详细信息添加到vsftpd配置文件


现在,我们需要修改我们的配置以指向新的密钥并配置安全连接。

再次以root身份打开vsftpd配置文件:

sudo nano /etc/vsftpd/vsftpd.conf

滚动到文件底部。我们将在这里添加我们的SSL/TLS信息。

我们需要指定我们证书和密钥文件的位置。实际上,我们将两个信息部分合并到一个文件中,因此我们将两个选项指向同一个文件:

rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem

接下来,我们需要启用这些文件的使用并禁用匿名用户。我们还应该强制使用SSL进行数据传输和登录例程。这将使安全性成为强制性:

ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES

接下来,我们将限制连接类型为TLS,这比SSL更安全。我们将通过明确允许TLS并拒绝使用SSL来实现这一点:

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

在完成之前,我们将添加一些更多的配置选项:

require_ssl_reuse=NO
ssl_ciphers=HIGH

保存并关闭文件。

我们需要重新启动vsftpd以启用我们的更改:

sudo /etc/init.d/vsftpd restart

我们还将配置它在每次重启时自动启动:

sudo chkconfig vsftpd on

如何使用 FileZilla 连接到 vsftpd 服务器


大多数现代 FTP 客户端都支持 SSL 和 TLS 连接。我们将向您展示如何设置 FileZilla 使用安全连接,因为它具有跨平台兼容性。我们假设您已经根据您的计算机的适当安装程序安装了客户端。

打开 FileZilla 程序。在界面中,您可以点击一个图标打开“站点管理器”。它应该看起来像图片最左边的图标:

!FileZilla 打开站点管理器

在弹出的新界面中,您应该点击左下角的“新站点”按钮。命名服务器连接,以便以后可以轻松识别它

!FileZilla 新站点

在“主机”字段中填入 IP 地址,并从协议下拉菜单中选择“FTP - 文件传输协议”。对于加密下拉菜单,请选择“需要显式 FTP over TLS”。

从登录类型菜单中选择“要求密码”。在“用户”字段中填入我们为 FTP 用户创建的用户名:

!FileZilla 服务器配置

现在,您可以点击面板底部的“连接”。您将被提示输入 FTP 用户的密码:

!FileZilla 用户密码

下一步是我们连接到远程服务器时使用 TLS 的第一个迹象。我们将被要求接受正在使用的证书。

!FileZilla 服务器证书

您应该能够看到您创建证书时填写的信息,以验证您实际上是连接到正确的位置。

接受证书以建立连接。

结论


虽然这种配置是朝着正确方向迈出的一步,但在建立连接之前仍存在安全问题。由于这些问题,大多数向互联网开放的设置都应该避免使用。如果您希望能够使用一些您熟悉的工具,但又能信任其安全性,SFTP 是一个很好的替代方案。


目录
相关文章
|
29天前
|
安全 网络安全 数据安全/隐私保护
SSL/TLS证书**是一种用于加密网络通信的数字证书
SSL/TLS证书**是一种用于加密网络通信的数字证书
81 6
|
2月前
|
Linux 网络安全 Apache
CentOS 7.2配置Apache服务httpd(上)
CentOS 7.2配置Apache服务httpd(上)
313 1
|
1月前
|
安全 算法 网络安全
SSL/TLS协议是什么?
SSL/TLS协议是什么?
110 57
|
1月前
|
安全 应用服务中间件 网络安全
如何测试Nginx反向代理实现SSL加密访问的配置是否正确?
如何测试Nginx反向代理实现SSL加密访问的配置是否正确?
61 3
|
1月前
|
安全 应用服务中间件 网络安全
配置Nginx反向代理实现SSL加密访问的步骤是什么?
我们可以成功地配置 Nginx 反向代理实现 SSL 加密访问,为用户提供更安全、可靠的网络服务。同时,在实际应用中,还需要根据具体情况进行进一步的优化和调整,以满足不同的需求。SSL 加密是网络安全的重要保障,合理配置和维护是确保系统安全稳定运行的关键。
120 3
|
1月前
|
安全 应用服务中间件 网络安全
49.3k star,本地 SSL 证书生成神器,轻松解决 HTTPS 配置痛点
mkcert是一款由Filippo Valsorda开发的免费开源工具,专为生成受信任的本地SSL/TLS证书而设计。它通过简单的命令自动生成并安装本地信任的证书,使本地环境中的HTTPS配置变得轻松无比。mkcert支持多个操作系统,已获得49.2K的GitHub Star,成为开发者首选的本地SSL工具。
128 10
|
1月前
|
缓存 安全 算法
SSL和TLS部署实践
在TLS中,所有安全性都以服务器的加密身份开始,这就需要一个强大的私钥来防止攻击者进行模拟攻击。同样重要的是拥有一个有效和强大的证书,它会授予私钥来代表一个特定的主机名。
56 2
|
1月前
|
存储 安全 算法
SSL和TLS部署实践
【10月更文挑战第28天】在TLS中,服务器的加密身份和强大私钥是安全基础,2048位RSA密钥足以满足大多数需求。保护私钥需在可信环境生成、加密存储、使用HSM、及时撤销旧证书、每年更新证书。确保证书覆盖所有域名,选择可靠CA,使用SHA256签名算法,配置完整证书链,禁用不安全加密套件,启用前向保密,使用会话重用机制,启用OCSP Stapling,加密整个网站,删除混合内容,安全设置Cookie,配置HSTS和CSP。
161 1
|
1月前
|
关系型数据库 MySQL Linux
在 CentOS 7 中通过编译源码方式安装 MySQL 数据库的详细步骤,包括准备工作、下载源码、编译安装、配置 MySQL 服务、登录设置等。
本文介绍了在 CentOS 7 中通过编译源码方式安装 MySQL 数据库的详细步骤,包括准备工作、下载源码、编译安装、配置 MySQL 服务、登录设置等。同时,文章还对比了编译源码安装与使用 RPM 包安装的优缺点,帮助读者根据需求选择最合适的方法。通过具体案例,展示了编译源码安装的灵活性和定制性。
166 2
|
2月前
|
安全 网络安全 数据安全/隐私保护
【Azure Developer】System.Net.WebException: The request was aborted: Could not create SSL/TLS secure channel.
System.Net.WebException: The request was aborted: Could not create SSL/TLS secure channel.