简介
FTP(文件传输协议)曾经是在本地和远程计算机之间传输文件的一种流行方式。该协议本身存在安全隐患,因此它的使用已经不再受青睐。
如果您仍然想使用 FTP 而不是像使用 SSH 协议实现文件传输的更安全的替代方案 SFTP,您可以通过配置 FTP 使用 SSL 来使其相对安全。
在本指南中,我们将在 Ubuntu 12.04 VPS 上配置 vsftpd 以使用 SSL 证书。
安装 vsftpd
vsftpd 服务器可在 Ubuntu 的默认软件仓库中找到。您可以通过输入以下命令来安装它:
sudo apt-get install vsftpd
现在我们在服务器上安装了 vsftpd,但我们仍然需要对其进行配置。
配置基本的 vsftpd 功能
默认的配置文件位于 /etc/vsftpd.conf。以 root 权限打开它:
sudo nano /etc/vsftpd.conf
通过找到 anonymous_enable 参数并将其更改为 “NO”,禁用用户匿名登录:
anonymous_enable=<span class="highlight">NO</span>
接下来,我们需要启用使用本地身份验证文件的用户登录,因为我们已禁用了匿名访问。取消注释以下行:
local_enable=YES
为了使用户能够对文件系统进行修改,我们还需要取消注释 write_enable 参数:
write_enable=YES
此外,取消注释 chroot_local_user 选项以将用户限制在其个人主目录中:
chroot_local_user=YES
保存并关闭文件。
创建 FTP 用户
由于 vsftpd 保护其 chroot 牢笼的方式,chroot 不能由用户拥有并且不能是可写的。因此,最好为 FTP 使用专门的用户。
像这样创建用户:
sudo adduser ftpuser
分配一个密码,并随时按 “ENTER” 键通过其他提示。现在,将 ftpuser 的主目录的所有权交给 root:
sudo chown root:root /home/ftpuser
我们需要在此主目录中创建一个单独的目录,用于上传文件。然后,我们需要将此目录交给我们的 FTP 用户:
sudo mkdir /home/ftpuser/files
sudo chown ftpuser:ftpuser /home/ftpuser/files
现在,我们应该能够以 ftpuser 的身份(不安全地)登录并将文件上传到 files 目录中。
使用 vsftpd 配置 SSL
我们需要创建一些 SSL 证书以与 vsftpd 一起使用。我们可以使用以下命令来执行此操作:
sudo openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem
这将创建一个有效期为一年的证书。它将被放置在 /etc/ssl/private/ 目录中,我们可以在我们的配置文件中引用它。
将 SSL 详细信息添加到 vsftpd 配置
再次以 root 权限打开 vsftpd 配置文件:
sudo nano /etc/vsftpd.conf
在文件底部,您应该找到与我们刚刚创建的 SSL 证书匹配的一行:
rsa_cert_file=/etc/ssl/private/vsftpd.pem
我们将在此下面添加额外的 SSL 信息。
当我们创建证书时,我们在一个文件中包含了密钥文件和证书,因此我们还可以将我们的私钥行指向那个文件:
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
之后,我们将添加以下行以强制使用 SSL。这将限制无法处理 TLS 的客户端,但这正是我们想要的。
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
之后,我们配置服务器使用 TLS,这实际上是 SSL 的后继版本,并且更受欢迎:
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
最后,我们将需要添加一些额外的选项来完善我们的配置文件:
require_ssl_reuse=NO
ssl_ciphers=HIGH
保存并关闭文件。
现在,我们需要重新启动我们的服务器以使更改生效:
sudo service vsftpd restart
如何使用 FileZilla 连接服务器
大多数现代 FTP 客户端都可以配置为使用 SSL 和 TLS 加密。我们将演示如何使用 FileZilla 进行连接,因为它支持跨平台。
在配置面板中,您应该看到一个在最左边的按钮,用于打开“站点管理器”。点击它:
!FileZilla 打开站点管理器
在窗口界面的右下角点击“新站点”:
!FileZilla 新站点
为新配置命名。填写 IP 地址。在“加密”下拉菜单中,选择“需要显式 FTP over TLS”。
对于“登录类型”,选择“要求密码”。在“用户”字段中填写您创建的 FTP 用户:
!FileZilla 服务器配置
点击界面底部的“连接”。您将被要求输入用户密码:
!FileZilla 用户密码
然后将被要求接受 TLS 证书:
!FileZilla 服务器证书
现在您应该已经使用 TLS/SSL 加密连接到服务器了。
结论
这种设置提高了 FTP 的安全性,但在建立连接时仍存在不安全性。如果可能的话,最好切换到 SFTP 进行这类操作。然而,如果您决定使用 FTP,应确保尽可能使用 TLS/SSL。
