安装FTP
服务端:
yum install -y vsftpd
客户端:
yum install -y ftp lftp
配置文件
# 是否开启匿名用户,匿名都不安全,默认NO
anonymous_enable=NO
# 允许本机账号登录FTP
# 这个设定值必须要为YES时,在/etc/passwd内的账号才能以实体用户的方式登入我们的vsftpd主机
local_enable=YES
# 允许账号都有写操作
write_enable=YES
# 本地用户创建文件或目录的掩码
# 意思是指:文件目录权限:777-022=755,文件权限:666-022=644
local_umask=022
# 进入某个目录的时候,是否在客户端提示一下
dirmessage_enable=YES
# 当设定为YES时,使用者上传与下载日志都会被记录起来
xferlog_enable=YES
# 日志成为std格式
xferlog_std_format=YES
# 上传与下载日志存放路径
xferlog_file=/var/log/xferlog
# 开放port模式的20端口的连接
connect_from_port_20=YES
# 关于系统安全的设定值:
# ascii_download_enable=YES(NO)
# 如果设定为YES,那么client就可以使用ASCII格式下载档案
# 一般来说,由于启动了这个设定项目可能会导致DoS的攻击,因此预设是NO
# ascii_upload_enable=YES(NO)
# 与上一个设定类似的,只是这个设定针对上传而言,预设是NO
ascii_upload_enable=NO
ascii_download_enable=NO
# 通过搭配能实现以下几种效果:
# ①当chroot_list_enable=YES,chroot_local_user=YES时,在/etc/vsftpd/chroot_list文件中列出的用户,可以切换到其他目录;未在文件中列出的用户,不能切换到其他目录
# ②当chroot_list_enable=YES,chroot_local_user=NO时,在/etc/vsftpd/chroot_list文件中列出的用户,不能切换到其他目录;未在文件中列出的用户,可以切换到其他目录
# ③当chroot_list_enable=NO,chroot_local_user=YES时,所有的用户均不能切换到其他目录
# ④当chroot_list_enable=NO,chroot_local_user=NO时,所有的用户均可以切换到其他目录
# 限制用户只能在自己的目录活动
chroot_local_user=YES
chroot_list_enable=NO
chroot_list_file=/etc/vsftpd/chroot_list
# 可以更改ftp的端口号,使用默认值21
# listen_port=60021
# 监听ipv4端口,开了这个就说明vsftpd可以独立运行,不用依赖其他服务
listen=NO
# 监听ipv6端口
listen_ipv6=YES
# 打开主动模式
port_enable=YES
# 启动被动式联机(passivemode)
pasv_enable=YES
# 被动模式端口范围:注意:linux客户端默认使用被动模式,windows 客户端默认使用主动模式。在ftp客户端中执行"passive"来切换数据通道的模式。也可以使用"ftp -A ip"直接使用主动模式。主动模式、被动模式是有客户端来指定的
# 上面两个是与passive mode使用的port number有关,如果您想要使用64000到65000这1000个port来进行被动式资料的连接,可以这样设定
# 这两项定义了可以同时执行下载链接的数量
# 被动模式起始端口,0为随机分配
pasv_min_port=64000
# 被动模式结束端口,0为随机分配
pasv_max_port=65000
# 文件末尾添加
# 这个是pam模块的名称,我们放置在/etc/pam.d/vsftpd,认证用
pam_service_name=vsftpd
# 使用允许登录的名单,在/etc/vsftpd/user_list文件中添加新建的用户ftpuser
userlist_enable=YES
# 限制允许登录的名单,前提是userlist_enable=YES,其实这里有点怪,禁止访问名单在/etc/vsftpd/ftpusers
userlist_deny=NO
# 允许限制在自己的目录活动的用户拥有写权限
# 不添加下面这个会报错:500 OOPS: vsftpd: refusing to run with writable root inside chroot()
allow_writeable_chroot=YES
# 当然我们都习惯支持TCP Wrappers的啦
# Tcp wrappers : Transmission Control Protocol (TCP) Wrappers 为由 inetd 生成的服务提供了增强的安全性
tcp_wrappers=YES
# FTP访问目录
local_root=/data/ftp/ftpuser
将新建用户ftpuser添加到/etc/vsftpd/user_list文件末尾
这个是允许登录ftp的名单,一行一个用户,不能把多个写到一行
用户切换目录的规则设定在/etc/vsftpd/vsftpd.conf文件中,如果有用户有权限切换目录,则在/etc/vsftpd/chroot_list文件中添加即可(一行一个用户)
# 在chroot_list中添加新建用户ftpuser
# 第一步:打开文件
vim /etc/vsftpd/chroot_list
# 第二步:添加ftpuser用户
ftpuser
# 第三步:保存文件并退出
systemctl restart vsftpd.service
文件加密传输配置
下载并安装openssl
yum -y install openssl openssl-devel
首先生成CA私钥文件并改变权限
openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048
chmod 400 /etc/pki/CA/private/cakey.pem
生成自签证书
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365
为证书和私钥文件单独创建一个隐藏目录并设置访问权限
mkdir -p /etc/vsftpd/.ssl
chmod 400 /etc/vsftpd/.ssl
cd /etc/vsftpd/.ssl
生成私钥并设置访问权限
openssl genrsa -out vsftpd.key 2048
chmod 400 vsftpd.key
生成请求签署文件
openssl req -new -key vsftpd.key -out vsftpd.csr
签发证书
touch /etc/pki/CA/index.txt
echo 01 | sudo tee /etc/pki/CA/serial
openssl ca -in /etc/vsftpd/.ssl/vsftpd.csr -out /etc/vsftpd/.ssl/vsftpd.crt -days 365
vsftp配置文件末尾添加以下信息 vim /etc/vsftpd/vsftpd.conf
#开启ssl证书功能
ssl_enable=YES
#匿名用户相关配置
allow_anon_ssl=YES
force_anon_data_ssl=YES
force_anon_logins_ssl=YES
#不重用SSL会话
require_ssl_reuse=NO
#在数据传输时采用证书加密
force_local_data_ssl=YES
# 在登录时采用证书加密
force_local_logins_ssl=YES
# ssl的版本一名字是tsl
ssl_tlsv1=YES
# ssl的版本二名字是ssl
ssl_sslv2=YES
# ssl的版本三名字是ssl
ssl_sslv3=YES
# 设置SSL密码等级
ssl_ciphers=HIGH
# ssl的证书文件存放位置
rsa_cert_file=/etc/vsftpd/.ssl/vsftpd.crt
# ssl的私钥文件存放位置
rsa_private_key_file=/etc/vsftpd/.ssl/vsftpd.key
# 启用SSL调试,将openSSL连接记录到VSFTPD日志文件中
debug_ssl=YES
重启FTP服务
systemctl restart vsftpd.service