『壹』 windows server R2 FTP服務SSL證書是什麼
先從SSL協議說起,SSL是一種安全傳輸協議,其全稱是Securesocketlayer(安全套接層),該協議最初由Netscape企業發展而來,是加密通訊的全球化標准,已被廣泛採用。SSL證書通過在客戶端瀏覽器和Web伺服器之間建立一條SSL安全通道確保數據在傳送中不被隨意查看、竊取、修改。對於網民來講,在信用卡密碼、銀行賬號、個人身份信息輸入時均需要留意網站是否採用了SSL加密鏈接。因為SSL證書除了加密功能,還可以為網站提供身份驗證服務。網民可以通過SSL證書查看網站的真實身份信息,避免登陸欺詐釣魚網站。國內常見的SSL證書有VeriSign,GeoTrus 與thawte等,僅VeriSignSSL證書全球就超過400萬張。目前VeriSign國內通過天威誠信簽發各種數字證書產品,如招商銀行、工商銀行、建設銀行、中國銀行、光大銀行、淘寶、紅孩子、卓越亞馬遜、凡客、國美電器等都是從天威誠信獲取 SSL證書服務。
『貳』 怎麼搭建FTP伺服器
1、首先,我們創建一個用於登錄FTP以進行操作的用戶帳戶。右鍵單擊我的桌面並選擇「管理選項」,轉到「管理」界面,然後打開「本地用戶和組」選項。我們可以在列表中看到用戶選項。
『叄』 ssl協議未開啟會對FTP有影響嗎
不會有什麼影響的,只能說安裝過ssl證書之後傳輸過程中更安全。景安ssl證書主要的作用就是傳輸層加密還有就是確保網站的真實性。
『肆』 通過ftp登錄到linux無法看到掛載的數據盤中的文件
修改 vsftp 的設置。
請參考:
vsftp的配置參數
listen=YES
當為YES時,vsftpd將以單獨模式運行.這意味著vsftpd不必以某種inetd運行,而是可以
直接執行.vsftpd執行後會自己偵聽和操作進入的連接
listen_ipv6=NO
類似listen選項,但該選項使vsftpd偵聽的地址為IPv6格式的.
allow_anon_ssl=NO
該選項僅在ssl_enable為YES時才用,若設為YES表示允許匿名用戶通過ssl連接
anon_mkdir_write_enable=NO
該選項設置為YES時表示允許匿名用戶創建新的目錄,為了使該選項能夠起作用必須
使write_enable為YES且匿名的用戶必須有在父目錄寫入的許可權
anon_other_write_enable=NO
該選項設置為YES時,匿名用戶除了具有上傳,創建目錄的許可權外還具有其他的許可權
如重命名等
anon_upload_enable=NO
該選項為YES時表示匿名用戶有上傳文件的許可權.為了使該選項工作必須使write_enable
為YES
anon_world_readable_only=YES
該選項為YES時,匿名用戶只能下載具有全局可讀屬性的文件
anonymous_enable=NO
該選項控制著是否允許匿名用戶登錄.當為YES時則同時允許匿名用戶ftp和anonyous登錄
ascii_download_enable=YES
該選項用於指定是否允許下載時以ASCII模式傳輸數據
ascii_upload_enable=YES
該選項設置是否允許上傳時以ASCII模式傳輸數據
async_abor_enable=NO
該選項設置為YES時,FTP命令將顯示為"async ABOR"僅反對高級客戶端使用這一特性.
background=NO
該選項設置當vsftpd以"listen"模式運行時,則在後台運行偵聽程序
check_shell=YES
該選項只對以non-PAM編譯的vsftpd起作用,當設置為NO時,則vsftpd不會根據/etc/shells
文件來檢查本地用戶登錄的shell是否有效
chmod_enable=YES
該選項為YES時,允許本地用戶使用CHMOD命令改變上傳的文件的許可權.匿名用戶無法使用
CHMOD命令
chown_uploads=YES
當為YES時,所有匿名用戶上傳上來的文件都會將文件的所屬關系改為由chown_user-name
指定的用戶
chroot_list_enable=NO
該選項用於指定一系列可以使用chroot()的用戶名,指定的用戶在登錄FTP後就會轉向
自己的主目錄所在的位置.默認情況下指定的用戶放在/etc/vsftpd.chroot_list文件中
但可以在chroot_list_file指定別的文件名
chroot_local_user=NO
當設置為YES時,本地用戶登錄後就自動轉到他們的用戶主目錄中去。
注意!:該選項用安全問題,特別是當用戶有上傳文件或訪問shell的許可權時.僅在你知道自己要作什麼時才設置為YES
connect_from_port_20=YES
該選項用於設置是否使用20號埠傳輸數據.由於安全的原因,一些客戶端堅持使用
20號埠,但是禁用該選項可以使vsftpd運行在更低的特權中
debug_ssl=NO
該選項為YES時,將會把OpenSSl連接的診斷信息存儲在日誌文件中。
delete_failed_uploads=YES
當設置為YES時,在上傳文件失敗時刪除該文件.
deny_email_enable=NO
該選項用於指定一系列拒絕匿名用戶登錄的密碼郵件.默認情況下包含郵件的文件為
/etc/vsftpd.banned_emails或由banned_email_file指定的文件中
dirlist_enable=YES
是否允許用戶列出目錄的內容
dirmessage_enable=YES
當為YES時表示當用戶第一次進入一個新的目錄時會顯示目錄的信息.默認情況下目錄的
信息在目錄裡面的.message文件里.但是你可以用message_file來指定別的.
download_enable=YES
允許下載,若為NO時則不允許下載。
al_log_enable=NO
當設置為YES時將會同時產生兩個日誌文件,一個為/var/log/vsftpd.log(vsftpd自己
風格的日誌文件)和/var/log/xferlog(wu-ftpd風格的日誌文件可以被標準的工具分析)
force_dot_files=NO
若設置為YES時,在指定'ls -a'時會列出所有以.開始的隱藏文件,該選項則使.和..不列出
force_anno_data_ssl=NO
僅在ssl_enable為YES時可用,當該選項為YES時所有匿名用戶登錄時都要求使用SSL連接
進行數據傳輸
force_anon_logins_ssl=NO
僅在ssl_enable為YES時可用,當該選項為YES時所有匿名用戶登錄時都要求使用SSl連接
進行密碼傳輸
force_local_data_ssl=YES
僅在ssl_enable為YES時可用,當為YES時,所有非匿名用戶登錄時都要求使用SSL鏈接進
行數據傳輸
force_local_logins_ssl=YES
僅在ssl_enable為YES時可用,當為YES時,所有非匿名用戶登錄時到要求使用SSL鏈接
進行密碼傳輸
guest_enable=NO
設置是否允許非匿名用戶作為"guest"登錄,一個guest登錄用戶映射為guest_username
指定的一個用戶名
hide_ids=YES
當設置為YES時,所有目錄列表中的組和用戶的信息都被隱藏,用"ftp"代替。
implicit_ssl=NO
當為YES時,在所有ftp連接的第一件事就是SSL握手
local_enable=YES
控制是否允許本地用戶登錄.(/etc/passwd中指定的用戶登錄)
lock_upload_files=YES
設置當用戶上傳文件時是否鎖住上傳的文件。
log_ftp_protocol=YES
當為YES時,所有FTP的請求和應答都被記錄在日誌文件中.可用於調試。
ls_recurse_enable=NO
設置是否允許遞歸列出目錄及其子目錄中的內容
mdtm_write=YES
允許使用MDTM設置修改的時間
no_anon_password=NO
當為YES時,將使vsftpd不會詢問匿名用戶的密碼
no_log_lock=NO
當為YES時在記錄日誌時不會鎖住日誌文件
one_process_model=NO
允許登錄用戶只能使用一個進程
passwd_chroot_enable=NO
和chroot_local_user一起使用當為YES時.在用戶轉到自己主目錄時不需要再輸入密碼。
pasv_addr_resolve=NO
若你想使用主機名的話就設置為YES
pasv_enable=YES
該選項用於設置是否使用PASV方式來獲得數據連接。
pasv_promiscuous=NO
如果你想禁用PORT安全檢查(確保輸出的數據僅連接到客戶端)則設置為YES.僅在你在你
知道你在作什麼時.
require_cert=NO
若設置為YES時,則所有的SSl客戶端連接都需要提供證書,有效的證書在validate_cert中指
定
require_ssl_reuse=NO
當設置為YES時,所有的SSl數據連接都需要檢閱SSL會話安全盡管該選項默認是安全的,但是他可
能會破壞許多FTP客戶端,所以你可能會禁用他
run_as_launching_user=NO
若你希望使用引導vsftpd運行的用戶去運行vsftpd.該選項在不能使用root用戶訪問FTP時很
很有用。重要的警告!:不要使用該選項除非你真的知道你在作什麼.
secure_email_list_enable=NO
若你想指定一系列的郵件密碼讓匿名用戶登錄。默認情況下郵件密碼存放在/etc/vsftpd.email_passwords,
但可以email_password_file指定文件.
session_support=NO
該選項控制著vsftpd是否試圖控制著登錄會話.若vsftpd控制著登錄會話的話,則會更新utmp和wtmp日誌文件.
如果使用PAM認證的話他也會打開一個pam_session且只在退出登錄後關閉.如果你不需要登錄會話的話你可能
會關閉此選項。
setproctitle_enable=NO
若該選項為YES時vsftpd會試著顯示系統中的進程的狀態信息。換言之就是報告影響一個vsftpd
會話的進程名。
ssl_enable=NO
是否支持SSl連接。
ssl_request_cert=YES
SSL連接時是否需要認證.
ssl_sslv2=NO
該選項僅在ssl_enable可用時才應用當為YES時,允許SSL v2協議連接。TLS v1優先
ssl_sslv3=NO
該選項僅在ssl_enable為YES時可用.允許使用SSl v3協議連接.TLS v1優先
ssl_tlsv1=YES
該選項僅在ssl_enable為YES時可用,允許使用TLS v1協議。
strict_ssl_read_eof=NO
該選項為YES時,在上傳數據時需要通過SSL連接的終端,而不是埠上的一個EOF
strict_ssl_write_shutdown=NO
當設置為YES時,在下載數據時需要通過SSL連接的埠,而不是埠上的一個EOF
syslog_enable=NO
該選項為YES時.任何原來記錄到/var/log/vsftpd.log的信息都將記錄到系統日誌文件中
tcp_wrappers=YES
當該選項為YES時,連接時將通過tcp_wrapper訪問控制(wrap為隱藏的意思)
text_userdb_names=NO
該選項為YES時設置顯示用戶名和組名.默認情況下使用的是UID和GID
tilde_user_enable=NO
控制vsftpd是否使用相對路徑.(以~/something顯示路徑)
use_localtime=YES
設置是否使用本地用戶所在的時區顯示時間.默認顯示的時間為GMT時區的.
use_sendfile=YES
用於設置在你的系統中使用sendfile()系統調用來測試的內部設置。
userlist_deny=NO
設置禁止登錄的用戶列表,用戶列表在userlist_file中指定的文件中指定
userlist_enable=NO
允許從文件中載入允許登錄的用戶名列表
validate_cert=YES
若設置為YES時,所有的SSL客戶端需要合法的認證書
virtual_use_local_privs=NO
該選項用於設置虛擬用戶是否擁有和本地用戶一樣的特權.
write_enable=YES
該選項用於設置是否允許使用會改變FTP文件系統的命令.這些命令有:STOP,DELE,RNFR,
RNTO,MKD,RMD,APPE,SITE
xferlog_enable=YES
設置為YES時,會產生一個關於上傳和下載的日誌文件,默認的日誌文件為/var/log/vsftp.log
但是可以通過vsftpd_log_file指定別的日誌文件名
xferlog_std_format=NO
設置是否產生標准格式(wu-ftpd風格的)日誌文件.默認的文件名/var/log/xferlog
但是可以通過xferlog_file指定別的日子文件名。
數字選項
說明:以下為數字選項,一個數字選項的值不能是負數,可以指定一個八進制的數字
在數字前加上'0'就是八進制的數值否則默認為十進制的數值.
accept_timeout=60
該選項用於設置一個PASV風格的連接的超時,單位為s
anon_max_rate=1024
該選項用於設置匿名用戶的最大數據傳輸速度,單位b/s.若設置為0時表示無限制
anon_umask=077
該選項用於設置匿名用戶創建文件時的許可權掩碼.
chown_upload_mode=0600
該選項用於設置匿名用戶上傳文件時使用chown強制改變文件的許可權值
connect_timeout=60
用於設置連接超時
data_connection_timeout=120
用於設置沒有進程使用時最大允許數據連接的超時
delay_failed_login=1
設置登錄失敗時要延遲1s後才可以再次連接
delay_successful_login=0
設置登錄成功後的延遲時間,單位是s
file_open_mode=0777
設置上傳文件的許可權,若你希望上傳的文件可以被執行你需要設置為0777
ftp_data_port=21
設置PORT風格的連接的埠,默認為20
idle_session_timeout=300
設置遠程客戶端使用兩個FTP命令之間的最大時間,超時後則退出客戶端連接
listen_port=21
當vsftpd在單獨模式下運行時偵聽的埠號
local_max_rate=2048
設置本地用戶最大的傳輸速度,b/s,若設置為0表示為限制。
local_umask=0077
設置本地用戶上傳文件時的許可權掩碼
max_clients=10
設置最大連接的IP數為10
max_login_fails=5
設置在5次連接失敗後終止會話
max_per_ip=1
設置每個IP地址最多可以連接的數目為1次。若設置為0時表示無限次
pasv_max_port=0
設置使用PASV風格連接時最大的埠號,0表示無限制
pasv_min_port=0
設置使用PASV風格連接時最小的埠號,0表示無限制
trans_chunk_size=0
你可能不會改變這個選項設置,但是你可以為更低寬頻限制將此選項設置為像8192一樣
字元串設置
anon_root=/home/ftp/ftp
設置匿名用戶登錄後轉向的目錄
banned_email_file=/home/huangyandong/logs/vsftpd/vsftpd.banned_emails
設置存放匿名用戶郵件密碼列表的文件
banner_file=/home/huangyandong/logs/vsftpd/vsftpd.banner
設置包含當用戶登錄FTP時顯示的內容的文件,會覆蓋由ftpd_banner設置的字元串
ca_certs_file
該選項設置載入認證證書的文件
chown_username=huangyandong
設置當上傳文件後文件的所屬關系該為huangyandong所有,僅在chown_uploads為YES時
可用
chroot_list_file=/home/huangyandong/logs/vsftpd/vsftpd.chroot_list
設置包含允許轉到用戶主目錄的用戶名的文件名,僅在chroot_local_user和chroot_list_enable
為YES時可用
cmds_allowed=PASV,RETR,QUIT
指定一系列由,隔開的允許使用的FTP命令
cmds_denied=DELE,RMD
指定一系列由,隔開的不允許使用的FTP命令
此處指定不允許刪除文件和目錄
deny_file
指定包含一系列不允許訪問的文件名的文件
dsa_cert_file
指定載入DSA證書的文件名
dsa_private_key_file
指定包含DSA私鑰的文件
email_password_file=/etc/vsftpd.email_password
指定包含郵件密碼的文件
ftp_username=ftp
指定操作匿名用戶使用的根目錄的用戶名
ftpd_banner
指定用戶登錄FTP時顯示的內容
guest_username=ftp
指定遊客映射的用戶名
hide_file
指定要隱藏的文件名匹配
listen_address
指定當在單獨模式下運行時偵聽的IP地址
listen_address6
指定當在單獨模式下運行時偵聽的IPV6地址
local_root=/home/ftp/ftp
指定本地用戶登錄後轉入的目錄
message_file
該選項指定包含當用戶轉入一個新的目錄時顯示的內容的文件,默認文件為.message
僅在dirmessage_enable可用時才有用
secure_chroot_dir=/home/huangyandong/logs/vsftpd/empty
指定安全的目錄名,該目錄不能被ftp用戶寫入,在FTP文件系統不能訪問是轉入的目錄
userlist_file=/etc/vsftpd.user_list
該選項用於指定在userlist_enable為YES時,從指定文件中載入用戶列表
vsftpd_log_file=/home/huangyandong/logs/vsftpd/vsftpd.log
用於指定日誌文件,默認為/var/log/vsftpd.log
xferlog_file=/home/huangyandong/logs/vsftpd/xferlog
用於在xferlog_enable為YES時指定標準的日誌文件默認為/var/log/xferlog
『伍』 [翻譯]在 Ubuntu 中使用 SSL/TLS 加密 FTP 連接
在本教程中,我們將介紹如何在 Ubuntu 16.04 / 16.10 中使用 SSL / TLS 加密 FTP(本文中,我們將使用 VsFTP,一個號稱非常安全的 FTP 軟體)
在完成本指南中的所有步驟之後,我們將進一步去了解在FTP伺服器中啟用加密服務的基本原理,以確保能安全的傳輸數據。
必須在 Ubuntu中已經安裝並配置完FTP伺服器
請確保本文中的所有命令都將以root或sudo特權帳戶運行。
1.我們將首先在 /etc/ssl/ 下創建一個子目錄(如果這個目錄不存在),以存儲SSL / TLS證書和密鑰文件:
2.現在,我們通過運行下面的命令在單個文件中生成證書和密鑰。
上述命令將提示您回答以下問題,請輸入自己特定的值。
3.在進行任何 VsFTP 配置之前,對於啟用了UFW防火牆的用戶,必須打開埠990和40000-50000,以允許在VSFTPD配置文件中分別設置TLS連接和被動埠的埠范圍:
4.現在,打開VSFTPD配置文件並在其中定義SSL詳細信息:
然後,添加或找到選項 ssl_enable 並將其值設置為 YES 以激活 SSL 的使用,因為 TLS 比 SSL 更安全,因此通過啟用 ssl_tlsv1 選項,我們將限制 VSFTPD 使用 TLS:
5.接下來,使用 # 字元注釋掉下面的行,如下所示:
6.現在,我們還必須防止匿名用戶使用SSL,然後強制所有非匿名登錄使用安全的SSL連接進行數據傳輸,並在登錄期間發送密碼:
7.此外,我們可以使用以下選項在FTP伺服器中添加更多的安全功能。使用option_ssl_reuse = YES選項,所有SSL數據連接都需要展示SSL會話重用;證明他們知道與控制頻道相同的主機密碼。所以我們應該禁用它。
另外,我們可以通過設置 ssl_ciphers 選項來設置SSL密碼等級。這將有助於阻擋試圖強制使用特定密碼的攻擊。
8.然後,我們來定義被動埠的埠范圍(最小和最大埠)。
9.我們可以使用debug_ssl選項啟用SSL調試,將 openSSL 連接記錄到VSFTPD日誌文件中:
最後保存並關閉文件。然後重啟 VSFTPD 服務:
10.執行上述所有配置後,通過從命令行使用FTP來測試VSFTPD是否正在使用SSL / TLS連接。
在下面的輸出,有一個錯誤消息,VSFTPD 只允許用戶(非匿名)從支持加密服務的安全客戶端登錄。
因為命令行不支持加密服務,從而導致了上述錯誤。因此,為了安全地連接到啟用加密服務的FTP伺服器,我們需要一個默認支持 SSL / TLS 連接的FTP客戶端,例如FileZilla。
FileZilla是功能強大,廣泛使用的跨平台FTP客戶端,支持通過SSL / TLS等方式連接 FTP。要在Linux客戶端計算機上安裝FileZilla,請使用以下命令。
12.安裝完成後,打開它並轉到File => Sites Manager或按 Ctrl + S 以打開下面的站點管理器界面。
13.現在,添加主機/站點名稱和IP地址,定義要使用的協議,加密和登錄類型,如下面的屏幕截圖(使用適用於您的實際情況的值):
14.然後點擊從上面的「Connect」,輸入密碼,然後驗證用於SSL / TLS連接的證書,然後單擊「確定」再次連接到FTP伺服器:
15.現在,您應該已經通過TLS連接成功登錄到了FTP伺服器,可以從下面的界面查看連接狀態以獲取更多信息。
16.最後,我們將文件從本地機器傳輸到FTP伺服器的文件夾中,看看FileZilla界面的下端,查看有關文件傳輸的報告。
全部教程如上!永遠記住,安裝FTP伺服器而不啟用加密服務具有一定的安全隱患。正如我們在本教程中所述,您可以在 Ubuntu 16.04 / 16.10中配置FTP伺服器以使用SSL / TLS來實現安全連接。
『陸』 阿里雲上申請的ssl免費證書能不能直接用ftp安裝
不可以,另外免費證書故障率很多,導致網站不能網站訪問也是常見問題。