Linux下使用OpenSSL创建安全的vsFTP

vsFTPd是Linux上的FTP服务器软件之一，它支持很多选项，其中有一条允许使用OpenSSL对数据进行加密，这样可以在一定程度上弥补FTP在传输帐号密码信息时铭文传送的缺陷，可以使FTP帐号更安全一些。

1.首先，安装vsftpd

# yum install vsftpd  

2.建立CA

1. # cd /etc/pki/CA  
2. # mkdir certs newcerts crl  
3. # touch index.txt serial  
4. # echo 01 > serial  
5. # vim /etc/pki/tls/openssl.conf            # 修改如下字段，这样在颁发证书的是否方便  
6. [ CA_default ]  
7. dir             = /etc/pki/CA              # 指定CA的路径  
8. [ req_distinguished_name ]  
9. countryName_default             = CN       # 默认国家名  
10. stateOrProvinceName_default     = HN       # 省份  
11. localityName_default            = ZZ       # 地区  
12. 0.organizationName_default      = RHCE     # 公司名称  
13.   
14. # openssl genrsa 1024 > private/cakey.pem  
15. # openssl req -new x509 -key private/cakey.pem -out cacert.pem  
16. 一阵回车，注意要配置域名！CA证书建立好了  
17. chmod 600 private/cakey.pem cacert.pem  

3.给vsftpd颁发证书

1. # cd /etc/vsftpd/   
2. # mkdir ssl   
3. # openssl genrsa 1024 > ssl/ftp.key   
4. # openssl req -new -key ssl/ftp.key -out ssl/ftp.req   
5. 又是一阵回车，vsfptd的请求证书申请号了  
6. # openssl ca -in ssl/ftp.req -out ssl/ftp.crt   
7. 确定签署  
8. # rm ssl/ftp.req -f   
9. # chmod 600 ssl/ftp.*  

4.编辑配置文件，添加如下行

1. # vim /etc/vsftpd/vsftpd.conf   
2. 添加如下行  
3. # SSL configure   
4. ssl_enable=YES  
5. ssl_tlsv1=YES                            //建议开启这个就行了   
6. ssl_sslv2=NO  
7. ssl_sslv3=NO  
8. allow_anon_ssl=YES                       //匿名用户开启使用ssl   
9. force_local_data_ssl=YES                 //强制数据传输使用加密   
10. force_local_logins_ssl=YES               //强制登录时使用ssl   
11. rsa_cert_file=/etc/vsftpd/ssl/ftp.crt        
12. rsa_private_key_file=/etc/vsftpd/ssl/ftp.key   

5.开启vsftpd服务，在客户端就可以使用ssl加密方式访问ftp了

# service vsftpd start

6.我们在服务端使用命令抓包来看看数据是否是加密后的

# tcpdump -i eth0 -A dst 192.168.0.48