# 21.4 讓 vsftpd 增加 SSL 的加密功能 ## 21.4 讓 vsftpd 增加 SSL 的加密功能 既然 http 都有 https 了，那么使用明碼傳輸的 ftp 有沒有加密的 ftps 呢？嘿嘿！說的好！有的啦～既然都有 openssl 這個加密函式庫， 我們當然能夠使用類似的機制來處理 FTP 啰！但前提之下是你的 vsftpd 有支持 SSL 函式庫才行！此外，我們也必須要建立 SSL 的憑證檔給 vsftpd 使用，這樣才能夠進行加密嘛！了解乎！接下來，就讓我們一步一步的進行 ftps 的服務器建置吧！ - 1. 檢查 vsftpd 有無支持 ssl 模塊： 如果你的 vsftpd 當初編譯的時候沒有支持 SSL 模塊，那么你就得只好自己重新編譯一個 vsftpd 的軟件了！我們的 CentOS 有支持嗎？ 趕緊來瞧瞧： ``` [root@www ~]# ldd $(which vsftpd) | grep ssl libssl.so.10 => /usr/lib64/libssl.so.10 (0x00007f0587879000) ``` 如果有出現 libssl.so 的字樣，就是有支持！這樣才能夠繼續下一步呦！ - 2. 建立專門給 vsftpd 使用的憑證數據： CentOS 給我們一個建立憑證的地方，那就是 /etc/pki/tls/certs/ 這個目錄！詳細的說明我們在 [20.5.2](http://linux.vbird.org/linux_server/0360apache.php#www_ssl_own) 里面談過咯，所以這里只介紹怎么做： ``` [root@www ~]# cd /etc/pki/tls/certs [root@www certs]# make vsftpd.pem ----- ....(前面省略).... Country Name (2 letter code) [XX]:TW State or Province Name (full name) []:Taiwan Locality Name (eg, city) [Default City]:Tainan Organization Name (eg, company) [Default Company Ltd]:KSU Organizational Unit Name (eg, section) []:DIC Common Name (eg, your name or your server's hostname) []:www.centos.vbird Email Address []:root@www.centos.vbird [root@www certs]# cp -a vsftpd.pem /etc/vsftpd/ [root@www certs]# ll /etc/vsftpd/vsftpd.pem -rw-------. 1 root root 3116 2011-08-08 16:52 /etc/vsftpd/vsftpd.pem # 要注意一下權限喔！ ``` - 3. 修改 vsftpd.conf 的配置文件，假定有實體、匿名賬號： 在前面 21.2 里面大多是單純匿名或單純實體帳戶，這里我們將實體賬號透過 SSL 聯機，但匿名者使用明碼傳輸！ 兩者同時提供給客戶端使用啦！FTP 的設定項目主要是這樣： - 提供實體賬號登入，實體賬號可上傳數據，且 umask 為 002 - 實體賬號默認為 chroot 的情況，且全部實體賬號可用帶寬為 1Mbytes/second - 實體賬號的登入與數據傳輸均需透過 SSL 加密功能傳送； - 提供匿名登錄，匿名者僅能下載，不能上傳，且使用明碼傳輸 (不透過 SSL) 此時，整體的設定值會有點像這樣： ``` [root@www ~]# vim /etc/vsftpd/vsftpd.conf # 實體賬號的一般設定項目： local_enable=YES write_enable=YES local_umask=002 chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list local_max_rate=10000000 # 匿名者的一般設定： anonymous_enable=YES no_anon_password=YES anon_max_rate=1000000 data_connection_timeout=60 idle_session_timeout=600 # 針對 SSL 所加入的特別參數！每個項目都很重要！ ssl_enable=YES <==啟動 SSL 的支持 allow_anon_ssl=NO <==但是不允許匿名者使用 SSL 喔！ force_local_data_ssl=YES <==強制實體用戶數據傳輸加密 force_local_logins_ssl=YES <==同上，但連登入時的帳密也加密 ssl_tlsv1=YES <==支持 TLS 方式即可，底下不用啟動 ssl_sslv2=NO ssl_sslv3=NO rsa_cert_file=/etc/vsftpd/vsftpd.pem <==預設 RSA 加密的憑證檔案所在 # 一般服務器系統設定的項目： max_clients=50 max_per_ip=5 use_localtime=YES dirmessage_enable=YES xferlog_enable=YES connect_from_port_20=YES xferlog_std_format=YES listen=YES pam_service_name=vsftpd tcp_wrappers=YES banner_file=/etc/vsftpd/welcome.txt dual_log_enable=YES vsftpd_log_file=/var/log/vsftpd.log pasv_min_port=65400 pasv_max_port=65410 [root@www ~]# /etc/init.d/vsftpd restart ``` - 4. 聯機測試看看！使用 Filezilla 聯機測試： 接下來我們利用 filezilla 來說明一下，如何透過 SSL/TLS 功能來進行聯機加密。很簡單，只要在站臺管理員的地方選擇：  圖 21.4-1、透過 Filezilla 聯機到 SSL/TLS 支持的 FTP 方式 如上圖所示，重點在箭頭所指的地方，需要透過 TLS 的加密方式才行！然后，鳥哥嘗試使用 student 這個一般賬號登入系統， 聯機的時候，應該會出現如下的圖示才對：  圖 21.4-2、透過 Filezilla 是否接受憑證呢？ 如果一切都沒有問題，那么你可以點選上圖那個『總是信任』的項目，如此一來，未來聯機到這個地方就不會再次要你確認憑證啦！ 很簡單的解決了 FTP 聯機加密的問題啰！^\_^ 例題：想一想，既然有了 SFTP 可以進行加密的 FTP 傳輸，那為何需要 ftps 呢？答：因為既然要開放 SFTP 的話，就得要同時放行 sshd 亦即是 ssh 的聯機，如此一來，你的 port 22 很可能會常常被偵測～若是 openssl, openssh 出問題，恐怕你的系統就會被綁架。如果你的 FTP 真的有必要存在，那么透過 ftps 以及利用 vsftpd 這個較為安全的服務器軟件來架設， 理論上，是要比 sftp 來的安全些～至少對 Internet 放行 ftps 還不會覺得很可怕... - - - - - -