如何在 Linux FTP 中启用 SSL

简介

本教程将指导你完成使用 SSL/TLS 加密保护 FTP（文件传输协议）连接的过程。通过实施 FTPS（基于 SSL/TLS 的 FTP），你可以确保数据和登录凭证受到保护，防止被窃听和篡改，从而增强 Linux 系统上文件传输操作的整体安全性。

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL linux(("Linux")) -.-> linux/BasicSystemCommandsGroup(["Basic System Commands"]) linux/BasicSystemCommandsGroup -.-> linux/echo("Text Display") subgraph Lab Skills linux/echo -.-> lab-431154{{"如何在 Linux FTP 中启用 SSL"}} end

使用 SSL/TLS 保护 FTP 安全

FTP（文件传输协议）是一种广泛用于通过网络在计算机之间传输文件的协议。然而，标准的 FTP 协议以明文形式传输数据和登录凭证，这带来了重大的安全风险。为了解决这个问题，开发了基于 SSL/TLS 的 FTP（FTPS）协议，它通过对数据和认证过程进行加密，提供了一种安全的文件传输方式。

FTPS，也称为 FTP Secure 或 FTP-SSL，是 FTP 协议的扩展，增加了对 SSL（安全套接层）和 TLS（传输层安全）协议的支持。这些加密协议确保客户端和服务器之间传输的数据是安全的，防止被窃听和篡改。

graph LR Client --> FTPS_Server FTPS_Server --> Client Client -- Encrypted Data --> FTPS_Server FTPS_Server -- Encrypted Data --> Client

要在 Linux 系统上配置 FTPS，你可以按照以下步骤操作：

安装必要的软件包：

sudo apt-get update
sudo apt-get install vsftpd openssl

编辑 vsftpd 配置文件（/etc/vsftpd.conf）并添加以下行：
```
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
```
这些设置为数据和登录会话启用 SSL/TLS 加密，并禁用较旧、安全性较低的 SSL 版本。
为 FTP 服务器生成自签名的 SSL 证书：
```
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem
```
此命令创建一个自签名的 SSL 证书和私钥，FTP 服务器将使用它们进行加密。
重启 vsftpd 服务以应用更改：
```
sudo systemctl restart vsftpd
```

现在，当客户端连接到 FTP 服务器时，将要求他们使用 FTPS 协议来安全地传输文件。与标准的 FTP 协议相比，数据和登录凭证将被加密，提供更高的安全性。

配置 FTPS（基于 SSL/TLS 的 FTP）

FTPS（基于 SSL/TLS 的 FTP）是传统 FTP 协议的安全版本，它在文件传输过程中使用 SSL/TLS 加密来保护数据和登录凭证。通过配置 FTPS，你可以确保敏感信息在客户端和 FTP 服务器之间安全传输。

要在 Ubuntu 22.04 系统上配置 FTPS，你可以按照以下步骤操作：

安装必要的软件包：

sudo apt-get update
sudo apt-get install vsftpd openssl

编辑 vsftpd 配置文件（/etc/vsftpd.conf）并添加以下行：
```
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
```
这些设置为数据和登录会话启用 SSL/TLS 加密，并禁用较旧、安全性较低的 SSL 版本。
为 FTP 服务器生成自签名的 SSL 证书：
```
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem
```
此命令创建一个自签名的 SSL 证书和私钥，FTP 服务器将使用它们进行加密。
重启 vsftpd 服务以应用更改：
```
sudo systemctl restart vsftpd
```

配置完 FTPS 后，客户端将需要使用 FTPS 协议连接到 FTP 服务器。与标准 FTP 协议相比，数据和登录凭证将被加密，提供更高的安全性。

需要注意的是，虽然自签名证书可用于测试和开发目的，但对于生产环境，建议使用由受信任的证书颁发机构（CA）签名的证书，以确保客户端能够轻松验证服务器的身份。

实现安全的文件传输

虽然 FTPS 提供了一种安全的文件传输方式，但还有其他协议也可用于确保安全的文件传输。其中一种协议是 SFTP（安全文件传输协议），它是传统 FTP 协议更现代、更安全的替代方案。

SFTP 是一种文件传输协议，它使用 SSH（安全外壳协议）进行加密和认证。与使用 SSL/TLS 的 FTPS 不同，SFTP 将文件传输功能直接集成到 SSH 协议中，提供了更简化、更安全的解决方案。

graph LR Client --> SFTP_Server SFTP_Server --> Client Client -- Encrypted Data --> SFTP_Server SFTP_Server -- Encrypted Data --> Client

要在 Ubuntu 22.04 系统上使用 SFTP 实现安全的文件传输，你可以按照以下步骤操作：

安装必要的软件包：

sudo apt-get update
sudo apt-get install openssh-server

确保 SSH 服务正在运行并配置为允许 SFTP 连接：
```
sudo systemctl start ssh
sudo systemctl enable ssh
```

配置 SSH 服务器以启用 SFTP：

sudo nano /etc/ssh/sshd_config

添加或取消注释以下行：

Subsystem sftp /usr/lib/openssh/sftp-server

重启 SSH 服务以应用更改：
```
sudo systemctl restart ssh
```

现在，客户端可以使用 SFTP 客户端（如 FileZilla 或 WinSCP）连接到 SFTP 服务器，并安全地传输文件。客户端和服务器之间传输的数据将使用 SSH 协议进行加密，确保高度的安全性。

与 FTPS 相比，SFTP 具有几个优点，包括更好的性能、更广泛的兼容性以及利用现有 SSH 基础设施的能力。然而，需要注意的是，FTPS 和 SFTP 都提供了安全的文件传输选项，它们之间的选择可能取决于你所在组织的具体要求。

总结

在本教程中，你学习了如何在 Linux 系统上配置 FTPS（基于 SSL/TLS 的 FTP）以保障文件传输安全。通过启用 SSL/TLS 加密，你可以防止数据和登录凭证以明文形式传输，这显著提高了 FTP 操作的安全性。涵盖的步骤包括安装必要的软件包、修改 vsftpd 配置文件、生成自签名的 SSL 证书以及重启 FTP 服务器以应用更改。配置好 FTPS 后，你现在可以在客户端和 FTP 服务器之间享受安全且加密的文件传输了。