如何使用SSL / TLS保护vsFTPd

• vsFTPd的安装
• 生成自签名证书
• 在vsFTPd中安装新证书
• 确认安装

非常安全的FTP守护程序，或简称为vsFTPd，是一款轻量级的软件，具有强大的自定义功能。在本教程中，我们将使用我们自己的自签名SSL / TLS证书来保护Debian系统上已经存在的安装。尽管它是为Debian编写的，但它应该可以在大多数Linux发行版中使用，例如Ubuntu和CentOS。

---

vsFTPd的安装

在新的Linux VPS上，您需要首先安装vsFTPd。尽管您会在本教程中找到安装vsFTPd的基本步骤，但我还是建议您阅读以下两个更详细的教程：在Debian / Ubuntu上安装vsFTPd和在CentOS上安装vsFTPd。有关安装的所有步骤都在此处进行了更详细的说明。

在Debian / Ubuntu上安装：

apt-get install vsftpd

在CentOS上安装：

yum install epel-release
yum install vsftpd

配置在您喜欢的文本编辑器中 打开配置文件：/etc/vsftpd.conf，在本教程中，我们使用nano。

nano /etc/vsftpd.conf

将以下行粘贴到配置中：

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

通过重新启动vsFTPd守护程序来完成：

/etc/init.d/vsftpd restart

现在，您应该能够以任何本地用户的身份通过FTP登录，现在让我们继续并保护此软件。

---

生成自签名证书

自签名证书通常用于公钥协议中，您现在将使用它openssl来生成公钥和相应的私钥。首先，我们需要创建一个目录来存储这两个密钥文件，最好是普通用户无法访问的安全位置。

mkdir -p /etc/vsftpd/ssl

现在到证书的实际生成，我们将把两个密钥存储在同一文件中（/etc/vsftpd/ssl/vsftpd.pem）：

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

执行命令后，系统将询问您一些问题，例如国家代码，州，城市，组织名称等。请使用您自己的或组织的信息。现在，最重要的行是通用名称，该名称必须与您的VPS的IP地址匹配，或者指向它的域名。

该证书有效期为365天（〜1年），它将使用RSA密钥协议协议，密钥长度为4096位，并且包含这两个密钥的文件将存储在我们刚刚创建的新目录中。有关密钥长度及其与安全性的关系的更多详细信息，请参阅：Encryption II recomendations。

---

在vsFTPd中安装新证书

要开始使用我们的新证书并提供加密，我们需要再次打开配置文件：

nano /etc/vsftpd.conf

我们需要将路径添加到新证书和密钥文件。由于它们存储在同一文件中，因此在配置内部也应该相同。

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

我们必须添加以下行以确保将启用SSL：

ssl_enable=YES

（可选）我们可以阻止匿名用户使用SSL，因为公共FTP服务器上不需要加密。

allow_anon_ssl=NO

接下来，我们需要指定何时使用SSL / TLS，这将为数据传输和登录凭据启用加密

force_local_data_ssl=YES
force_local_logins_ssl=YES

我们可能还会指定要使用的版本和协议。TLS通常比SSL更安全，因此我们可以允许TLS，同时阻止更旧的SSL版本。

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

要求SSL重用，并且使用高密码也将有助于提高安全性。从vsFTPd的手册页中：

require_ssl_reuse 如果设置为yes，则所有SSL数据连接都必须具有SSL会话重用性（这证明它们知道与控制通道相同的主密钥）。尽管这是一个安全的默认设置，但它可能会破坏许多FTP客户端，因此您可能要禁用它。有关后果的讨论，请参见http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html（在v2.1.0中添加）。

ssl_ciphers 此选项可用于选择vsftpd允许使用哪些SSL密码进行加密的SSL连接。有关更多详细信息，请参见密码手册页。请注意，限制密码可能是有用的安全预防措施，因为它可以防止恶意远程方强制使用他们发现问题的密码。

require_ssl_reuse=YES
ssl_ciphers=HIGH

通过重新启动vsftpd守护程序完成

/etc/init.d/vsftpd restart

---

确认安装

就是这样，您现在应该可以连接到服务器并确认一切正常。如果使用FileZilla，则在连接时将打开一个对话框，其中包含组织信息（或先前生成证书时输入的信息）。然后，输出应类似于以下内容：

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

要了解有关vsFTPd的更多信息，请查看其手册页：

man vsftpd