linux下使用openssl建立安全的vsftp

vsftpd是linux上的ftp伺服器軟體之一，它支援很多選項，其中有一條允許使用openssl對資料進行加密，這樣可以在一定程度上彌補ftp在傳輸帳號密碼資訊時銘文傳送的缺陷，可以使ftp帳號更安全一些。

1.首先，安裝vsftpd

# yum install vsftpd

2.建立CA

# cd /etc/pki/CA# mkdir certs newcerts crl# touch index.txt serial# echo 01 > serial# vim /etc/pki/tls/openssl.conf            # 修改如下欄位，這樣在頒發認證的是否方便[ CA_default ]dir             = /etc/pki/CA              # 指定CA的路徑[ req_distinguished_name ]countryName_default             = CN       # 預設國家名stateOrProvinceName_default     = HN       # 省份localityName_default            = ZZ       # 地區0.organizationName_default      = RHCE     # 公司名稱# openssl genrsa 1024 > private/cakey.pem# openssl req -new x509 -key private/cakey.pem -out cacert.pem一陣斷行符號，注意要佈建網域名！CA認證建立好了chmod 600 private/cakey.pem cacert.pem

3.給vsftpd頒發認證

# cd /etc/vsftpd/# mkdir ssl# openssl genrsa 1024 > ssl/ftp.key# openssl req -new -key ssl/ftp.key -out ssl/ftp.req又是一陣斷行符號，vsfptd的請求認證申請號了# openssl ca -in ssl/ftp.req -out ssl/ftp.crt確定簽署# rm ssl/ftp.req -f# chmod 600 ssl/ftp.*

4.編輯設定檔，添加如下行

# vim /etc/vsftpd/vsftpd.conf添加如下行# SSL configuressl_enable=YESssl_tlsv1=YES                            //建議開啟這個就行了ssl_sslv2=NOssl_sslv3=NOallow_anon_ssl=YES                       //匿名使用者開啟使用sslforce_local_data_ssl=YES                 //強制資料轉送使用加密force_local_logins_ssl=YES               //強制登入時使用sslrsa_cert_file=/etc/vsftpd/ssl/ftp.crt      rsa_private_key_file=/etc/vsftpd/ssl/ftp.key 

5.開啟vsftpd服務，在用戶端就可以使用ssl加密方式訪問ftp了
# service vsftpd start

6.我們在服務端使用命令抓包來看看資料是否是加密後的
# tcpdump -i eth0 -A dst 192.168.0.48