linux下使用vsftp搭建FTP服务器:匿名登录,账号登录,SSL加密传输 |
您所在的位置:网站首页 › 免费ftp服务器搭建 › linux下使用vsftp搭建FTP服务器:匿名登录,账号登录,SSL加密传输 |
linux下使用vsftp搭建FTP服务器:匿名登录,账号登录,SSL加密传输
|
目录一.关于FTP和VSFTP二.ftp、sftp、vsftp、vsftpd的区别三.项目一:搭建一台所有人都可以访问的通用FTP服务器3.1 项目要求3.2 项目思路分析3.3 使用vsftp搭建可以匿名访问的FTP服务器四.项目二:搭建一台只有特定用户才能访问的专有FTP服务器4.1 项目要求4.2 项目思路分析4.3 使用vsftp搭建特定用户登录的专用FTP服务器
一.关于FTP和VSFTP
1.FTP(File Transfer Protocol: 文件传输协议)是用来在Internet 上传送文件的协议。FTP服务器(File Transfer Protocol Server)是文件传输协议服务器,是在互联网上提供文件存储和访问服务的计算机,它们依照FTP协议提供服务。 2.VSFTP是一个基于GPL发布的类Unix系统上使用的FTP服务器软件,它的全称是Very Secure FTP 从此名称可以看出来,编制者的初衷是代码的安全。VSFTP具有安全、高速、稳定的特点。VSFTP的软件架构为C/S 模式(即一个客户端一个服务器端)。 3.FTP的端口有两个:20和21,20端口用来进行数据传输,21端口是控制端口,用于传输指令。查看FTP端口的方法如下: [root@node5 ~]# cat /etc/services | grep "^ftp" ftp-data 20/tcp ftp-data 20/udp ftp 21/tcp ftp 21/udp fsp fspd ftp-data 20/sctp # FTP ftp 21/sctp # FTP ftp-agent 574/tcp # FTP Software Agent System ftp-agent 574/udp # FTP Software Agent System ftps-data 989/tcp # ftp protocol, data, over TLS/SSL ftps-data 989/udp # ftp protocol, data, over TLS/SSL ftps 990/tcp # ftp protocol, control, over TLS/SSL ftps 990/udp # ftp protocol, control, over TLS/SSL4.FTP的会话包含了两个通道,控制通道和数据传输通道,FTP有两种工作模式,一种是主动模式,一种是被动模式,以FTP Server为参考点,主动模式就是服务器端主动连接客户端传输,被动模式就是服务器端等待客户端连接。 5.vsftp有服务器端和客户端,服务器端为vsftpd,客户端为lftp,lftp的语法如下: #lftp安装方法 [root@node8 ~]# yum -y install lftp lftp的语法为:lftp ip -p port -u user,'password' -e'commands ; bye' 下载命令为get,上传命令为put6.vsftp配置文件介绍 #vsftpd 的核心配置文件 /etc/vsftpd/vsftpd.conf #用于指定哪些用户不能访问FTP 服务器,即黑名单 /etc/vsftpd/ftpusers #指定允许使用VSFTP的用户列表文件,即白名单 /etc/vsftpd/user_list #vsftpd 操作的一些变量和设置脚本 /etc/vsftpd/vsftpd_conf_migrate.sh #默认情况下匿名用户的根目录 /var/ftp/7./etc/vsftpd/ftpusers,/etc/vsftpd/user_list,vsftpd.conf中的userlist_enable和userlist_deny两个配置项的解释 问题一:ftpusers和user_list两个文件各自的用途是什么?有何关系? 首先请明确一点:ftpusers不受任何配制项的影响,它总是有效,它是一个黑名单!该文件存放的是一个禁止访问FTP的用户列表,通常为了安全考虑,管理员不希望一些拥有过大权限的帐号(比如root)登入FTP,以免通过该帐号从FTP上传或下载一些危险位置上的文件从而对系统造成损坏。而user_list则是和vsftpd.conf中的userlist_enable和userlist_deny两个配置项紧密相关的,它可以有效,也可以无效,有效时它可以是一个黑名单,也可以是一个白名单!那么是什么的设置决定了它的作用呢?这就是问题二要解释的。所以简单总结就是:ftpusers和user_list没有任何关系,ftpusers文件总是生效,user_list则取决于userlist_enable和userlist_deny两项配置。 问题二:vsftpd.conf中的userlist_enable和userlist_deny两个配置项各自起什么作用,两者如何搭配使用? 为了说明这个问题,我们来建立两个测试用户: tom: 在user_list中 jim:不在user_list中 然后我们分别给两个配置项取不同的值,分4种Case进行测试: Case 1: userlist_enable=YES, userlist_deny=YES tom: 拒绝登入 jim: 允许登录 Case 2: userlist_enable=YES, userlist_deny=NO tom: 允许登录 jim:拒绝登录(如user_list文件开头的注释所述,甚至不会提示输入密码,即无登入提示框,直接拒绝连接) Case 3: userlist_enable=NO,userlist_deny=NO tom: 允许登录 jim: 允许登录 Case 4: userlist_enable=NO,userlist_deny=YES tom: 允许登录 jim: 允许登录 综上实验得出以下结论: userlist_enable和userlist_deny两个选项联合起来针对的是:本地全体用户(除去ftpusers中的用户)和出现在user_list文件中的用户以及不在在user_list文件中的用户这三类用户集合进行的设置。 当且仅当userlist_enable=YES时:userlist_deny项的配置才有效,user_list文件才会被使用;当其为NO时,无论userlist_deny项为何值都是无效的,本地全体用户(除去ftpusers中的用户)都可以登入FTP 当userlist_enable=YES时,userlist_deny=YES时:user_list是一个黑名单,即:所有出现在名单中的用户都会被拒绝登入; 当userlist_enable=YES时,userlist_deny=NO时:user_list是一个白名单,即:只有出现在名单中的用户才会被准许登入(user_list之外的用户都被拒绝登入);另外需要特别提醒的是:使用白名单后,匿名用户将无法登入!除非显式在user_list中加入一行:anonymous 二.ftp、sftp、vsftp、vsftpd的区别简单介绍下ftp、sftp、vsftp、vsftpd的区别 ftp 是File Transfer Protocol的缩写,是一种用于在网络上进行文件传输的协议,使用客户/服务器模式。它属于网络传输协议的应用层; sftp 是SSH File Transfer Protocol的缩写,sftp是基于ssh协议的加密ftp传输协议。SFTP 为 SSH的一部分,SFTP使用加密传输认证信息来传输数据,所以,使用SFTP是非常安全的。sftp是sshd里的一个 subsystem,ssh默认包含sftp功能,也可以更改设置禁止它。sftp 走的是ssh协议,开启了sshd就相当于开启了sftp,可以使用sftp命令登录目标目录,比如:sftp [email protected]; vsftp 是Very Secure FTP的缩写,vsftp是一个基于GPL发布的类Unix系统上使用的ftp服务器软件;vsftp是一款ftp服务器,支持ftp协议,不支持sftp协议; vsftpd 是very secure FTP daemon的缩写,vsftpd是vsftp的守护进程。 三.项目一:搭建一台所有人都可以访问的通用FTP服务器 3.1 项目要求 搭建一台通用FTP服务器,局域网内的所有员工都可以访问,员工可以进行上传/下载文件的操作,并创建属于自己的目录。 3.2 项目思路分析 由于需要所有员工都可以访问,所以需要设置成可以匿名用户登录,还要开启上传文件,创建文件的权限。 3.3 使用vsftp搭建可以匿名访问的FTP服务器1.部署环境 服务器 操作系统版本 CPU架构 进程 功能描述 node5/192.168.110.184 CentOS Linux release 7.9.2009 (Core) x86_64 vsftpd FTP服务器端 node8/192.168.110.186 CentOS Linux release 7.9.2009 (Core) x86_64 lftp FTP客户端2.vsftp分为客户端和服务器端,如果配置好了yum源的话,直接使用yum命令安装,如果没有配置好yum源的话,可以参考博客“linux 配置本地yum源,配置国内yum源,配置epel源”进行配置,网址为:https://www.cnblogs.com/renshengdezheli/p/13949693.html #安装vsftp服务器端 [root@node5 ~]# yum -y install vsftpd [root@node5 ~]# rpm -qa | grep vsftpd vsftpd-3.0.2-28.el7.x86_64 #启动vsftp [root@node5 ~]# systemctl start vsftpd #查看vsftp启动状态 [root@node5 ~]# systemctl status vsftpd ● vsftpd.service - Vsftpd ftp daemon Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; disabled; vendor preset: disabled) Active: active (running) since Sat 2020-12-19 20:57:15 CST; 5s ago Process: 66964 ExecStart=/usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf (code=exited, status=0/SUCCESS) Main PID: 66965 (vsftpd) CGroup: /system.slice/vsftpd.service └─66965 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf Dec 19 20:57:15 node5 systemd[1]: Starting Vsftpd ftp daemon... Dec 19 20:57:15 node5 systemd[1]: Started Vsftpd ftp daemon. [root@node5 ~]# systemctl enable vsftpd Created symlink from /etc/systemd/system/multi-user.target.wants/vsftpd.service to /usr/lib/systemd/system/vsftpd.service. [root@node5 ~]# [root@node5 ~]# systemctl is-enabled vsftpd enabled #查看已安装的vsftp命令,生成了哪些文件 [root@node5 ~]# rpm -ql vsftpd /etc/logrotate.d/vsftpd /etc/pam.d/vsftpd /etc/vsftpd /etc/vsftpd/ftpusers /etc/vsftpd/user_list /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd_conf_migrate.sh ...... /var/ftp /var/ftp/pub #安装vsftp服务器端 [root@node5 ~]# yum -y install lftp [root@node5 ~]# rpm -qa | grep lftp lftp-4.4.8-12.el7_8.1.x86_64 #查看FTP的端口:我们只查到21号端口,但是20号端口没有查看到?是因为没有数据传输,20号端口是用于传输数据的,所以20号端口是尚未开启,如有数据传输时,20号端口则会开启。 [root@node5 ~]# netstat -antup | grep ftp tcp6 0 0 :::21 :::* LISTEN 66965/vsftpd3.修改vsftp的配置文件vsftpd.conf [root@node5 ~]# cd /etc/vsftpd/ [root@node5 vsftpd]# pwd /etc/vsftpd [root@node5 vsftpd]# ls ftpusers user_list vsftpd.conf vsftpd_conf_migrate.sh vsftpd.conf.rpmsave #备份vsftp配置文件 [root@node5 vsftpd]# cp vsftpd.conf{,.bak} [root@node5 vsftpd]# ls ftpusers user_list vsftpd.conf vsftpd.conf.bak vsftpd_conf_migrate.sh vsftpd.conf.rpmsave #编辑配置文件vsftpd.conf,主要添加如下三个配置 [root@node5 vsftpd]# vim vsftpd.conf anonymous_enable=YES anon_upload_enable=YES #控制是否允许匿名用户创建目录 anon_mkdir_write_enable=YES #修改匿名用户登录的目录的权限,如果不进行此步骤,则不能创建文件夹 [root@node5 vsftpd]# chown ftp:ftp /var/ftp/pub/ #重启vsftp [root@node5 vsftpd]# systemctl restart vsftpd4.使用windows的资源管理器进行访问FTP服务器,输入ftp://192.168.110.184/,如下图,
发现在pub目录可以进行上传下载,但是不能重命名文件夹,只能新建叫做“新建文件夹”的文件夹,也不能删除文件
5.再次修改配置文件vsftpd.conf #vsftpd.conf里添加如下一项配置 [root@node5 vsftpd]# vim vsftpd.conf #启用匿名帐号可以有写的权限 anon_other_write_enable=YES #重启 [root@node5 vsftpd]# systemctl restart vsftpd6.再次使用windows的资源管理器登录,发现已经可以上传,下载,新建文件夹,重命名文件夹,删除文件夹了,值得注意的是删除文件夹的权限太大了,使用这个anon_other_write_enable=YES参数需要考虑安全性。默认匿名用户家目录的权限是755,这个权限是不能改变的。切记!
在浏览器里也可访问FTP服务器
使用FTP客户端也可访问FTP服务器,使用另一台linux服务器node8的FTP客户端进行访问 #在node8上安装FTP客户端 [root@node8 ~]# yum -y install lftp [root@node8 ~]# rpm -qa | grep lftp lftp-4.4.8-8.el7_3.2.x86_64 #登录FTP服务器 [root@node8 ~]# lftp 192.168.110.184 lftp 192.168.110.184:~> pwd ftp://192.168.110.184 lftp 192.168.110.184:~> lftp 192.168.110.184:~> ls drwxr-xr-x 4 14 50 107 Dec 19 16:29 pub lftp 192.168.110.184:/> cd pub/ lftp 192.168.110.184:/pub> pwd ftp://192.168.110.184/pub lftp 192.168.110.184:/pub> ls drwx------ 2 14 50 6 Dec 19 13:31 1219 drwx------ 2 14 50 6 Dec 19 13:33 1220 -rw------- 1 14 50 914424 Dec 19 16:24 a0996921f120ade16b43c340f3ed18f.png -rw------- 1 14 50 11814302 Dec 19 16:29 mycat-definitive-guide.pdf lftp 192.168.110.184:/pub> mkdir node8 mkdir ok, `node8' created lftp 192.168.110.184:/pub> ls drwx------ 2 14 50 6 Dec 19 13:31 1219 drwx------ 2 14 50 6 Dec 19 13:33 1220 -rw------- 1 14 50 914424 Dec 19 16:24 a0996921f120ade16b43c340f3ed18f.png -rw------- 1 14 50 11814302 Dec 19 16:29 mycat-definitive-guide.pdf drwx------ 2 14 50 6 Dec 19 16:43 node8 lftp 192.168.110.184:/pub> exitFileZilla是方便高效的FTP客户端工具,现在使用FileZilla来访问FTP服务器,FileZilla的连接配置如下图:
使用FileZilla连接成功之后,可以正常进行上传/下载,新建/删除文件夹
搭建一台专用FTP服务器:禁止匿名登录,只能有两个用户tom1和tom2使用密码登录FTP服务器,并且tom1和tom2禁止登录本地系统,tom1和tom2用户登录FTP服务器之后,限定根目录为/usr/local/apache-tomcat-8.0.51/webapps(即tomcat的发布目录),不能进入该目录以外的任何目录,此FTP服务器还需设置成加密传输数据,不能明文传输数据。 4.2 项目思路分析由于只能让特定用户登录FTP,所以必须禁止匿名登录,还需要把tom1用户和tom2用户的shell设定为/sbin/nologin,还需要使用chroot 功能将team1用户和team2用户的根目录锁定在/usr/local/apache-tomcat-8.0.51/webapps目录下,使用SSL证书加密传输数据,如果需要删除文件则还需要注意本地权限。 4.3 使用vsftp搭建特定用户登录的专用FTP服务器1.部署环境 服务器 操作系统版本 CPU架构 进程 功能描述 node5/192.168.110.184 CentOS Linux release 7.9.2009 (Core) x86_64 lftp FTP客户端 node8/192.168.110.186 CentOS Linux release 7.9.2009 (Core) x86_64 vsftpd FTP服务器端2.先安装vsftp的服务器端和客户端 [root@node8 ~]# yum -y install vsftpd [root@node8 ~]# rpm -qa | grep vsftpd vsftpd-3.0.2-22.el7.x86_64 [root@node8 ~]# yum -y install lftp [root@node8 ~]# rpm -qa | grep lftp lftp-4.4.8-8.el7_3.2.x86_643.创建用户tom1和tom2 [root@node8 ~]# useradd -s /sbin/nologin tom1 && echo "123456" | passwd --stdin tom1 Changing password for user tom1. passwd: all authentication tokens updated successfully. [root@node8 ~]# useradd -s /sbin/nologin tom2 && echo "123456" | passwd --stdin tom2 Changing password for user tom2. passwd: all authentication tokens updated successfully.4.确定tomcat的发布目录存在 [root@node8 ~]# cd /usr/local/ [root@node8 local]# ls apache-tomcat-8.0.51 bin etc games include lib lib64 libexec mysql sbin share src [root@node8 local]# cd apache-tomcat-8.0.51/webapps/ [root@node8 webapps]# ls docs examples host-manager index.jsp manager ROOT test [root@node8 webapps]# pwd /usr/local/apache-tomcat-8.0.51/webapps5.备份vsftp的配置文件,然后进行修改,并建立锁定用户文件 [root@node8 ~]# cd /etc/vsftpd/ [root@node8 vsftpd]# pwd /etc/vsftpd [root@node8 vsftpd]# ls ftpusers user_list vsftpd.conf vsftpd_conf_migrate.sh [root@node8 vsftpd]# cp vsftpd.conf{,.bak} [root@node8 vsftpd]# ls ftpusers user_list vsftpd.conf vsftpd.conf.bak vsftpd_conf_migrate.sh #配置文件主要修改以下几项 [root@node8 vsftpd]# vim vsftpd.conf #禁止匿名用户登录 anonymous_enable=NO #允许本地用户登录 local_enable=YES #设置本地用户登录的根目录为/usr/local/apache-tomcat-8.0.51/webapps local_root=/usr/local/apache-tomcat-8.0.51/webapps #激活chroot功能 chroot_list_enable=YES #设置锁定用户在根目录中的列表文件,此文件存放要锁定的用户名 chroot_list_file=/etc/vsftpd/chroot_list #允许锁定的用户有写的权限。 allow_writeable_chroot=YES #建立锁定用户文件 [root@node8 vsftpd]# touch /etc/vsftpd/chroot_list [root@node8 vsftpd]# vim /etc/vsftpd/chroot_list #把tom1和tom2添加进锁定文件里 [root@node8 ~]# cat /etc/vsftpd/chroot_list tom1 tom2 [root@node8 vsftpd]# ll -h /etc/vsftpd/chroot_list -rw-r--r-- 1 root root 10 Dec 21 11:38 /etc/vsftpd/chroot_list6.修改锁定目录的权限,使其他用户可以进行写操作 [root@node8 vsftpd]# ll -d /usr/local/apache-tomcat-8.0.51/webapps/ drwxr-xr-x 8 root root 110 Dec 21 11:19 /usr/local/apache-tomcat-8.0.51/webapps/ [root@node8 vsftpd]# chmod -R o+w /usr/local/apache-tomcat-8.0.51/webapps [root@node8 vsftpd]# ll -d /usr/local/apache-tomcat-8.0.51/webapps/ drwxr-xrwx 8 root root 110 Dec 21 11:19 /usr/local/apache-tomcat-8.0.51/webapps/7.重启vsftp使配置文件生效 [root@node8 vsftpd]# systemctl restart vsftpd [root@node8 vsftpd]# systemctl status vsftpd ● vsftpd.service - Vsftpd ftp daemon Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; disabled; vendor preset: disabled) Active: active (running) since Mon 2020-12-21 11:42:43 CST; 13s ago Process: 7441 ExecStart=/usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf (code=exited, status=0/SUCCESS) Main PID: 7442 (vsftpd) CGroup: /system.slice/vsftpd.service └─7442 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf Dec 21 11:42:43 node8 systemd[1]: Starting Vsftpd ftp daemon... Dec 21 11:42:43 node8 systemd[1]: Started Vsftpd ftp daemon.8.测试:使用FTP客户端和FileZilla连接FTP服务器,测试功能是否正常 首先把node5作为FTP客户端,使用lftp连接FTP服务器进行测试 #首先测试匿名登录,发现匿名登录无法查看相关内容 [root@node5 ~]# lftp 192.168.110.186 lftp 192.168.110.186:~> lftp 192.168.110.186:~> ls `ls' at 0 [Sending commands...] `ls' at 0 [Delaying before reconnect: 28] Interrupt lftp 192.168.110.186:~> quit #使用tom1账号登录,发现功能正常 [root@node5 ~]# lftp 192.168.110.186 -u tom1,123456 lftp [email protected]:~> pwd ftp://tom1:[email protected] lftp [email protected]:/> ls drwxr-xrwx 3 0 0 326 Dec 21 03:19 ROOT drwxr-xrwx 14 0 0 4096 Dec 21 03:19 docs drwxr-xrwx 6 0 0 83 Dec 21 03:19 examples drwxr-xrwx 5 0 0 87 Dec 21 03:19 host-manager -rw-r--rw- 1 0 0 624 Dec 21 03:19 index.jsp drwxr-xrwx 5 0 0 103 Dec 21 03:19 manager drwxr-xrwx 2 0 0 6 Dec 21 03:19 test lftp [email protected]:/> mkdir 1221 mkdir ok, `1221' created lftp [email protected]:/> ls drwxr-xr-x 2 1114 1114 6 Dec 21 03:48 1221 drwxr-xrwx 3 0 0 326 Dec 21 03:19 ROOT drwxr-xrwx 14 0 0 4096 Dec 21 03:19 docs drwxr-xrwx 6 0 0 83 Dec 21 03:19 examples drwxr-xrwx 5 0 0 87 Dec 21 03:19 host-manager -rw-r--rw- 1 0 0 624 Dec 21 03:19 index.jsp drwxr-xrwx 5 0 0 103 Dec 21 03:19 manager drwxr-xrwx 2 0 0 6 Dec 21 03:19 test lftp [email protected]:/> quit #使用tom2账号登录,发现功能正常 [root@node5 ~]# lftp 192.168.110.186 -u tom2,123456 lftp [email protected]:~> pwd ftp://tom2:[email protected] lftp [email protected]:/> ls drwxr-xr-x 2 1114 1114 6 Dec 21 03:48 1221 drwxr-xrwx 3 0 0 326 Dec 21 03:19 ROOT drwxr-xrwx 14 0 0 4096 Dec 21 03:19 docs drwxr-xrwx 6 0 0 83 Dec 21 03:19 examples drwxr-xrwx 5 0 0 87 Dec 21 03:19 host-manager -rw-r--rw- 1 0 0 624 Dec 21 03:19 index.jsp drwxr-xrwx 5 0 0 103 Dec 21 03:19 manager drwxr-xrwx 2 0 0 6 Dec 21 03:19 test lftp [email protected]:/> quit接着使用FileZilla连接FTP服务器进行测试,连接方式如下图:输入账号密码,发现功能也正常
但是此时数据传输是明文传输,所以还需要配置SSL,使其支持加密传输。 9.配置vsftp使用SSL证书加密传输数据,FTP与HTTP一样缺省状态都是基于明文传输,希望FTP服务器端与客户端传输保证安全,可以为FTP配置SSL。在项目中,如果是内网FTP传输,可以不用证书加密传输,如果FTP服务器在公网,为了数据的安全性,就一定要配置证书加密传输,保证安全性。 使用OpenSSL生成自签证书 #查看openssl有没有安装 [root@node8 vsftpd]# rpm -qa | grep openssl openssl-1.0.2k-8.el7.x86_64 openssl-libs-1.0.2k-8.el7.x86_64 xmlsec1-openssl-1.2.20-5.el7.x86_64 openssl-devel-1.0.2k-8.el7.x86_64 #使用OpenSSL生成自签证书 #OpenSSL参数注释: #req #是 X.509 Certificate Signing Request (CSR,证书签名请求)管理的一个命令。 #x509 #X.509 证书数据管理。 #days #定义证书的有效日期。 #newkey #指定证书密钥处理器。 #keyout #设置密钥存储文件。 #out #设置证书存储文件,注意证书和密钥都保存在一个相同的文件 [root@node8 vsftpd]# openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem -days 3560 Generating a 2048 bit RSA private key .........................................+++ ................................+++ writing new private key to 'vsftpd.pem' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:zg State or Province Name (full name) []:gd Locality Name (eg, city) [Default City]:gz Organization Name (eg, company) [Default Company Ltd]:shxf Organizational Unit Name (eg, section) []:fz Common Name (eg, your name or your server's hostname) []:zheli Email Address []:[email protected] [root@node8 vsftpd]# ls vsftpd.pem vsftpd.pem10.创建证书存放目录,并赋权 [root@node8 vsftpd]# mkdir .sslkey [root@node8 vsftpd]# mv vsftpd.pem .sslkey/ [root@node8 vsftpd]# chmod 400 .sslkey/vsftpd.pem11.修改配置文件,使其支持SSL加密传输 #修改配置文件,主要修改内容如下,注意:这些配置项不要添加到vsftpd.conf文件的末尾,添加在中间部位即可,否则启动报错 [root@node8 vsftpd]# vim vsftpd.conf #启用SSL ssl_enable=YES allow_anon_ssl=NO #强制匿名用户和本地用户使用加密登陆和数据传输 force_local_data_ssl=YES force_local_logins_ssl=YES force_anon_logins_ssl=YES force_anon_data_ssl=YES #指定vsftp支持TLS v1 ssl_tlsv1=YES #指定vsftpd支持SSL v2 ssl_sslv2=YES #指定vsftpd支持SSL v3 ssl_sslv3=YES #不重用SSL会话,安全配置项 require_ssl_reuse=NO #允许用于加密 SSL 连接的 SSL 算法。这可以极大地限制那些尝试发现使用存在缺陷的特定算法的攻击者 ssl_ciphers=HIGH #定义 SSL 证书和密钥文件的位置 rsa_cert_file=/etc/vsftpd/.sslkey/vsftpd.pem rsa_private_key_file=/etc/vsftpd/.sslkey/vsftpd.pem #重启vsftp,使配置文件生效 [root@node8 vsftpd]# systemctl restart vsftpd [root@node8 vsftpd]# systemctl status vsftpd ● vsftpd.service - Vsftpd ftp daemon Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; disabled; vendor preset: disabled) Active: active (running) since Mon 2020-12-21 14:33:02 CST; 7s ago Process: 7579 ExecStart=/usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf (code=exited, status=0/SUCCESS) Main PID: 7580 (vsftpd) CGroup: /system.slice/vsftpd.service └─7580 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf Dec 21 14:33:02 node8 systemd[1]: Starting Vsftpd ftp daemon... Dec 21 14:33:02 node8 systemd[1]: Started Vsftpd ftp daemon.12.测试是否支持加密传输 使用FileZilla连接FTP服务器,连接方法如下:
点击信任证书
连接成功之后,发现已经可以加密传输数据了
最后使用客户端工具lftp连接测试,使用另外一台node5的lftp连接FTP服务器 #在node5上连接FTP服务器,但是提示不信任的证书 [root@node5 ~]# lftp 192.168.110.186 -u tom2,123456 lftp [email protected]:~> pwd ftp://tom2:[email protected] lftp [email protected]:~> ls ls: Fatal error: Certificate verification: Not trusted lftp [email protected]:~> quit #修改/etc/lftp.conf配置文件,在末尾加上一行“set ssl:verify-certificate no”,或者直接在lftp命令提示符下输入:set ssl:verify-certificate no 回车 [root@node5 ~]# vim /etc/lftp.conf set ssl:verify-certificate no #此时又可以登录FTP服务器了 [root@node5 ~]# lftp 192.168.110.186 -u tom2,123456 lftp [email protected]:~> ls drwxr-xr-x 2 1114 1114 6 Dec 21 03:48 1221 drwxr-xrwx 3 0 0 326 Dec 21 03:19 ROOT drwxr-xrwx 14 0 0 4096 Dec 21 03:19 docs drwxr-xrwx 6 0 0 83 Dec 21 03:19 examples drwxr-xrwx 5 0 0 87 Dec 21 03:19 host-manager -rw-r--rw- 1 0 0 624 Dec 21 03:19 index.jsp drwxr-xrwx 5 0 0 103 Dec 21 03:19 manager drwxr-xrwx 2 0 0 6 Dec 21 03:19 test lftp [email protected]:/> quit自此,专有FTP服务器搭建完毕。 |
【本文地址】
今日新闻 |
推荐新闻 |