搭建加密传输及安全FTP服务器

1、vsftpd + ssl 搭建加密传输的安全FTP服务器目录一、 安装包1二、 安装 openssl2三、创建 openssl证书2四、 安装 vsftpd2五、给vsftpd添加设置SSL安全传输2六、vsftpd用户配置31.vsftpd用户配置32.配置相关文档：3七、相关问题41.cannot change directory错误42.显示的时间43.开机自启动44.简单说下防火墙为FTP放行的配置：55.登陆成功但是连不上服务器5八、客户端配置测试5Ftp测试5Ftps测试5九、多台服务器10十、详述创建 openssl证书（参考）101.生成服务器端的私钥(key文件)102.生成

2、证书签署请求103.生成CA证书104.合并key和crt文件105.如果觉的上述比较麻烦，可以使用下面命令；执行一次就够了（建议带-nodes;不然vsftpd无法放到后台启动）111、 安装包使用rhel-server-5.5-x86_64-dvd.iso自带的：2、 安装 openssl查看是否已经安装#openssl version若显示OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008已安装跳过安装步骤检测安装结果#openssl version三、创建 openssl证书使用命令whereis openssl发现已安装SSL，所以就未进行安装部份，直接进入下

3、面创建证书：#openssl req -new -x509 -nodes -out /etc/vsftpd/vsftpd.pem -keyout /etc/vsftpd/vsftpd.pem按步骤填写相关内容后，生成vsftpd.pem证书参考：十、详述创建 openssl证书4、 安装 vsftpd查看是否已经安装#ps aux|grep vsftpd若已显示500 16602 0.0 0.0 61140 720 pts/0 S+ 13:58 0:00 grep vsftpd安装跳过安装步骤#rpm -ivh 五、给vsftpd添加设置SSL安全传输修改/etc/vsftpd/vsftpd.

4、conf文件，在文件最下面添加一些内容：ssl_enable=YESssl_sslv2=YESforce_local_data_ssl=YESforce_local_logins_ssl=YES上面两行表示强制非匿名用户使用加密登陆和数据传输，如果设定为NO，则用户可以选择加密，也可以不加密。要参考实际证书存放路径rsa_cert_file=/etc/vsftpd/vsftpd.pem重起vsftpd即可#service vsftpd restart六、vsftpd用户配置redhat企业版5.0安装时选择了FTP，但默认不随着系统启动。可以运行：#service vsftpd start 启

5、动FTP服务，也可以运行ntsysv命令管理服务，将vsftpd设为随系统启动。1.vsftpd用户配置添加用户ftpuser,用户目录指定为/var/www/ftpuser，且此用户不能登陆系统。#mkdir /var/www#mkdir /var/www/ftpuser#useradd -s /sbin/nologin -d /var/www/ftpuser ftpuser#passwd ftpuser#chown -R ftpuser:ftpuser /var/www/ftpuser2.配置相关文档：#vi /etc/vsftpd/vsftpd.conf在文件最下面添加（文件前面若有同名

6、参数用“#”注释掉）：anonymous_enable=NOpasv_enable=YESpasv_min_port=10000pasv_max_port=10010local_max_rate=200000chroot_local_user=YESlisten_port=21说明：anonymous_enable=NO / 禁止匿名用户访问pasv_enable=YES /允许被动模式pasv_min_port=10000 /被动模式使用端口范围pasv_max_port=10010 /使用防火墙时需要配置，否则无法传输数据local_max_rate=200000 /用户宽带限制chroo

7、t_local_user=YES /禁用户离开主目录listen_port=21 /端口号，可修改为其它其它保持默认，基本上FTP可以使用了。FTP通过user_list文件进行用户登录许可，vsftpd.conf添加下面三行：userlist_enable=YESuserlist_deny=NOuserlist_file=/etc/vsftpd/user_listuserlist_deny=NO时使用白名单方式过滤用户，只有存在于user_list中的帐号才允许登录ftp。userlist_deny=YES是使用黑名单方式过滤用户，拒绝user_list中的帐号登录ftp。我将userlis

8、t_deny设为NO，然后修改user_list文件，删除所有默认用户名，再输入新加的用户名ftpuser重起vsftpd即可#service vsftpd restart七、相关问题1.cannot change directory错误在FTP使用时，能连接并登录成功，但却遇到cannot change directory错误,因为是selinux关闭FTP的原因，使用命令#getsebool ftpd_disable_trans可以查看当前的状态，如果不是on 或 setsebool: SELinux is disabled.那么是输入命令#setsebool ftpd_disable_t

9、rans 1当然也可以加入-P参数 以便不需要每次开机都输入这个命令2.显示的时间ftp上来显示的时间与系统时间不一致，因为默认情况下,vsftpd 是用GMT做为它的时间的,所以和系统的时间可能会不一致#vi /etc/vsftpd/vsftpd.conf在最后加入一行：use_localtime=YES存盘后，重启vsftpd：#service vsftpd restart3.开机自启动#chkconfig vsftpd on4.简单说下防火墙为FTP放行的配置：#vi /etc/sysconfig/iptables进去后可看到iptables的规则配置，如果里面有：-A RH-Firew

10、are-1-INPUT -m state -state NEW -m tcp -p tcp -dport 21 -j ACCEPT表示允许FTP连接端口，建议将被动模式端口范围通通加进来，以免影响使用：-A RH-Fireware-1-INPUT -m state -state NEW -m tcp -p tcp -dport 10000 -j ACCEPT-A RH-Fireware-1-INPUT -m state -state NEW -m tcp -p tcp -dport 10001 -j ACCEPT5.登陆成功但是连不上服务器请认真重新操作：六、vsftpd用户配置1.vsftp

11、d用户配置#passwd ftpuser重新设置密码八、客户端配置测试Ftp测试天津工行只能用这种方式。Ftps测试IE 8IE不支持ssl加密链接ftp。Firefox（不推荐）安装fireftp插件可以支持（本机测试server列表显示速度很慢）。Flashfxp（推荐）现在可以用支持ssl的ftp客户端如flashfxp登录了，在属性设置中选择相应的SSL认证方式。1、2、配置Flashfxp 连接至此,VSFTPD+SSL 基本配置已经完成，本次试验只是为了达到ftp/ssl 功能，并抓包测试，发现原本明文传输的信息已经经过加密,测试完成。九、多台服务器执行：一、安装openssl和四

12、、安装vsftpd，然后将测试通过的服务器/etc/vsftpd/目录下所有文件拷贝到其它服务器。#scp /etc/vsftpd/* root8:/etc/vsftpd/十、详述创建 openssl证书（参考）1.生成服务器端的私钥(key文件)#openssl genrsa -des3 -out vsftpd.key 1024运行时会提示输入密码，此密码用于加密key文件（des3是指加密算法），以后每当需读取此文件都需输入口令 如果觉得有口令不方便，可以用下面的命令去除口令#openssl rsa -in vsftpd.key -out vsftpd.k

13、ey 或者生成不需要密码的私钥文件（建议使用此项;不然vsftpd无法放到后台启动）#openssl genrsa -out vsftpd.key 1024 2.生成证书签署请求#openssl req -new -key vsftpd.key -out vsftpd.csr生成的csr（Certificate Signing Request）文件交给CA签名后形成服务端自己的证书。屏幕上将有提示，依照其指示一步一步输入要求的个人信息即可csr文件必须有CA的签名才可形成证书，你可以拿着这个文件去数字证书颁发机构（即CA）申请一个数字证书3.生成CA证书如果是自己做测试，证书的申请机构和颁发机构都是自己。可以用下面这个命令来生成证书#openssl req -new -x509 -key vsftpd.key -out vsftpd.crt 4.合并key和crt文件#cat