next up previous contents
Next: ftps client - lftp Up: FTP Server Previous: 安全機制   Contents

SSL 設定

 1. 產生證書及 key
  [root@dywftp ~]# openssl req -days 3650 -new -x509 -nodes \
  > -out /etc/pki/tls/private/vsftpd.pem -keyout /etc/pki/tls/private/vsftpd.key \
  > -subj '/C=TW/ST=Taiwan/L=CYUT/O=CSIE/CN=csie.cyut Certificate Authority'
  Generating a 2048 bit RSA private key
  ......................................................+++
  .................................+++
  writing new private key to '/etc/pki/tls/private/vsftpd.key'
  

 2. 編輯 vsftpd 設定:指定證書及 key
  [root@dywftp ~]# vim /etc/vsftpd/vsftpd.conf 
  [root@dywftp ~]# grep rsa /etc/vsftpd/vsftpd.conf 
  rsa_cert_file=/etc/pki/tls/private/vsftpd.pem
  rsa_private_key_file=/etc/pki/tls/private/vsftpd.key
  

 3. 編輯 vsftpd 設定:啟動 SSL,不允許匿名用戶,強制資料傳輸及登入都使用 SSL。
  [root@dywftp ~]# vim /etc/vsftpd/vsftpd.conf 
  [root@dywftp ~]# tail -n4 /etc/vsftpd/vsftpd.conf
  ssl_enable=YES
  allow_anon_ssl=NO
  force_local_data_ssl=YES
  force_local_logins_ssl=YES
  

 4. 編輯 vsftpd 設定:明確的限制使用 TLS v1,其安全性高於 SSL。
  [root@dywftp ~]# vim /etc/vsftpd/vsftpd.conf 
  [root@dywftp ~]# tail -n3 /etc/vsftpd/vsftpd.conf
  ssl_tlsv1=YES
  ssl_sslv2=NO
  ssl_sslv3=NO
  

 5. 編輯 vsftpd 設定:因已設定數據與控制流使用不相同通道,所以取消數據與控制流使用相同通道的設定。
  [root@dywftp ~]# vim /etc/vsftpd/vsftpd.conf 
  [root@dywftp ~]# tail -n1 /etc/vsftpd/vsftpd.conf
  require_ssl_reuse=NO
  

 6. 編輯 vsftpd 設定:憑證的加密模式,預設 DES。
  [root@dywftp ~]# vim /etc/vsftpd/vsftpd.conf 
  [root@dywftp ~]# tail -n1 /etc/vsftpd/vsftpd.conf
  ssl_ciphers=HIGH
  

 7. 重新啟動 vsftpd 服務
  [root@dywftp ~]# /etc/init.d/vsftpd restart
  Shutting down vsftpd:                   [ OK ]
  Starting vsftpd for vsftpd:                [ OK ]
  
 8. 設定開機啟動 vsftpd 服務
  [root@kvm8 ~]# chkconfig vsftpd on
  De-Yu Wang 2019-01-17