开发者社区> 余二五> 正文

Linux下ftp+ssl实现ftps

简介:
+关注继续查看

ftps与sftp:

FTPS是借助ssl协议加密,ssl是为http/smtp等加密设计的;;SFTP是借助ssh加密,ssh是为telnet/ftp等加密、建立传输通道而设计的。ssh建立传输通道就是为了加密和传输,而且这个通道是可以用来远程登录。创建加密通道对文件进行加密。

从原理上简单的讲:FTPS是ftp-over-ssl的意思,即ftp借助ssl协议加密传输,不但要用ftp服务器还要用ssl协议加密。sftp协议是ssh中的一条独立的协议,利用sftp服务器就可以传输数据。

下面笔者以ssl来实现ftps的安全传输:

用ssl的是ftps.(传输层的加密)

SSL验证: 1、只密码验证 2、SSL证书验证,需要建立CA服务器

实验思路:首先安装wireshark抓包工具,在没有使用CA服务器的情况下抓包,查看抓包情况。然后安装CA服务器为ftp服务器颁发证书。再次抓包,查看抓包。注:此实验中CA服务器与ftp服务器处于同一个主机上

新建用户:

[root@lyt ~]# useradd user1      #新建用户user1,用于抓包测试。

[root@lyt ~]# passwd user1

安装wireshare:

[root@lyt ~]# mkdir /mnt/cdrom

[root@lyt ~]# mount /dev/cdrom /mnt/cdrom/

[root@lyt ~]# cd /mnt/cdrom/Server/

[root@lyt Server]# vim /etc/yum.repos.d/rhel-debuginfo.repo      #编辑本地yum

image

[root@lyt Server]# yum install wireshark –y       #安装wireshark抓包工具

安装vsftp:

[root@lyt Server]# rpm -ivh vsftpd-2.0.5-16.el5.i386.rpm

[root@lyt Server]# service vsftpd start

使用抓包工具,查看在没有使用ssl时的抓包情况:

[root@lyt Server]# tshark -ni eth0 -R "tcp.dstport eq 21"       #由于客户端必须使用21端口与服务器建立连接,所以此处对于21号端口进行抓包

image

用户名和密码已经泄露:

image

搭建CA服务器:

[root@lyt Server]# cd /etc/pki/tls/

[root@lyt tls]# vim openssl.cnf     

image

image

image

image

image

[root@lyt tls]# cd /etc/pki/CA/       #切换到与CA服务器有关的目录

[root@lyt CA]# mkdir certs         #建立与证书有关的目录

[root@lyt CA]# mkdir newcerts     #与新证书有关的目录

[root@lyt CA]# mkdir crl       #证书吊销列表

[root@lyt CA]# touch index.txt

[root@lyt CA]# touch serial

[root@lyt CA]# echo "01"> serial      #给serial一个初始值

[root@lyt CA]# openssl genrsa 1024 > private/cakey.pem      #使用非对称加密算法rsa,采用1024为算法,得到一个密钥存放在private/cakey.pem中

[root@lyt CA]# chmod 600 private/cakey.pem       #私钥不允许别人查看,所以将cakey.pem文件的权限改为600,只有所属用户可以读写

[root@lyt CA]# openssl req -new -key private/cakey.pem -x509 -out  cacert.pem -days 3650    #使用CA服务器自己的私钥cakey.pem产生一个证书cacert.pem

image

[root@lyt CA]# mkdir -pv /etc/vsftpd/certs      #创建一个目录,存放于vsftp有关的证书,证书请求,密钥

[root@lyt CA]# cd /etc/vsftpd/certs/

[root@lyt certs]# openssl genrsa 1024 >vsftpd.key      #非对称加密算法rsa,使用1024位,算出一个密钥vsftp.key

[root@lyt certs]# openssl req -new -key vsftpd.key -out vsftpd.csr      #利用私钥vsftp.key产生一个证书请求文件vsftp.csr

image

[root@lyt certs]# openssl ca -in vsftpd.csr -out vsftpd.cert       #利用证书请求文件的到一个证书vsftp.cert

[root@lyt certs]# chmod 600 *      #将该目录下的文件权限全部改为600,即所属用户可读写

将申请得到的CA证书和vsftp关联起来:

[root@lyt certs]# chmod 600 *

[root@lyt certs]# vim /etc/vsftpd/vsftpd.conf

image

[root@lyt certs]# service vsftpd restart

使用flashfXP作为测试:

[root@lyt certs]# tshark -ni eth0 -R "tcp.dstport eq 21"     #抓包,查看能否获得用户名和密码

image

image 

image

image

查看抓包结果:无法获得用户名和密码

image










本文转自 liuyatao666 51CTO博客,原文链接:http://blog.51cto.com/5503845/992144,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Linux:expect实现自动拉取git代码
Linux:expect实现自动拉取git代码
121 0
【Linux】进程控制 —— 进程创建 | 进程退出 | 进程等待 | 进程程序替换 | 实现简易shell
本文将介绍进程控制;最后自己实现简陋的shell,对于bash会有更深的理解。 前置文章:进程虚拟地址空间;环境变量。
162 0
想要在Linux中只显示隐藏文件,用对ls就可以实现
在使用Linux的过程中,如何只显示隐藏文件呢? 其实非常简单,只需要用到`ls`就可以实现。
140 0
Daz
GNU/Linux下实现一个简易echo服务器
本文将详细讲解一个简易echo服务器的实现
74 0
Linux下C语言实现MySQL操作——连接、查询、插入与客户端打造
Linux下C语言实现MySQL操作——连接、查询、插入与客户端打造
159 0
基于XShell实现Win与Linux文件传输(替换XFtp等)
基于XShell实现Win与Linux文件传输(替换XFtp等)
108 0
Linux——了解目录结构( / )、实现远程操作(Xshell、Xftp)
Linux——了解目录结构( / )、实现远程操作(Xshell、Xftp)
118 0
Linux C 实现屏幕截图
Linux C 实现屏幕截图
95 0
+关注
文章
问答
文章排行榜
最热
最新
相关电子书
更多
Decian GNU/Linux安全合规之路
立即下载
从 Linux 系统内核层面来解决实际问题的实战经验
立即下载
冬季实战营第二期:Linux操作系统实战入门
立即下载