‘壹’ windows server R2 FTP服务SSL证书是什么
先从SSL协议说起,SSL是一种安全传输协议,其全称是Securesocketlayer(安全套接层),该协议最初由Netscape企业发展而来,是加密通讯的全球化标准,已被广泛采用。SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道确保数据在传送中不被随意查看、窃取、修改。对于网民来讲,在信用卡密码、银行账号、个人身份信息输入时均需要留意网站是否采用了SSL加密链接。因为SSL证书除了加密功能,还可以为网站提供身份验证服务。网民可以通过SSL证书查看网站的真实身份信息,避免登陆欺诈钓鱼网站。国内常见的SSL证书有VeriSign,GeoTrus 与thawte等,仅VeriSignSSL证书全球就超过400万张。目前VeriSign国内通过天威诚信签发各种数字证书产品,如招商银行、工商银行、建设银行、中国银行、光大银行、淘宝、红孩子、卓越亚马逊、凡客、国美电器等都是从天威诚信获取 SSL证书服务。
‘贰’ 怎么搭建FTP服务器
1、首先,我们创建一个用于登录FTP以进行操作的用户帐户。右键单击我的桌面并选择“管理选项”,转到“管理”界面,然后打开“本地用户和组”选项。我们可以在列表中看到用户选项。
‘叁’ ssl协议未开启会对FTP有影响吗
不会有什么影响的,只能说安装过ssl证书之后传输过程中更安全。景安ssl证书主要的作用就是传输层加密还有就是确保网站的真实性。
‘肆’ 通过ftp登录到linux无法看到挂载的数据盘中的文件
修改 vsftp 的设置。
请参考:
vsftp的配置参数
listen=YES
当为YES时,vsftpd将以单独模式运行.这意味着vsftpd不必以某种inetd运行,而是可以
直接执行.vsftpd执行后会自己侦听和操作进入的连接
listen_ipv6=NO
类似listen选项,但该选项使vsftpd侦听的地址为IPv6格式的.
allow_anon_ssl=NO
该选项仅在ssl_enable为YES时才用,若设为YES表示允许匿名用户通过ssl连接
anon_mkdir_write_enable=NO
该选项设置为YES时表示允许匿名用户创建新的目录,为了使该选项能够起作用必须
使write_enable为YES且匿名的用户必须有在父目录写入的权限
anon_other_write_enable=NO
该选项设置为YES时,匿名用户除了具有上传,创建目录的权限外还具有其他的权限
如重命名等
anon_upload_enable=NO
该选项为YES时表示匿名用户有上传文件的权限.为了使该选项工作必须使write_enable
为YES
anon_world_readable_only=YES
该选项为YES时,匿名用户只能下载具有全局可读属性的文件
anonymous_enable=NO
该选项控制着是否允许匿名用户登录.当为YES时则同时允许匿名用户ftp和anonyous登录
ascii_download_enable=YES
该选项用于指定是否允许下载时以ASCII模式传输数据
ascii_upload_enable=YES
该选项设置是否允许上传时以ASCII模式传输数据
async_abor_enable=NO
该选项设置为YES时,FTP命令将显示为"async ABOR"仅反对高级客户端使用这一特性.
background=NO
该选项设置当vsftpd以"listen"模式运行时,则在后台运行侦听程序
check_shell=YES
该选项只对以non-PAM编译的vsftpd起作用,当设置为NO时,则vsftpd不会根据/etc/shells
文件来检查本地用户登录的shell是否有效
chmod_enable=YES
该选项为YES时,允许本地用户使用CHMOD命令改变上传的文件的权限.匿名用户无法使用
CHMOD命令
chown_uploads=YES
当为YES时,所有匿名用户上传上来的文件都会将文件的所属关系改为由chown_user-name
指定的用户
chroot_list_enable=NO
该选项用于指定一系列可以使用chroot()的用户名,指定的用户在登录FTP后就会转向
自己的主目录所在的位置.默认情况下指定的用户放在/etc/vsftpd.chroot_list文件中
但可以在chroot_list_file指定别的文件名
chroot_local_user=NO
当设置为YES时,本地用户登录后就自动转到他们的用户主目录中去。
注意!:该选项用安全问题,特别是当用户有上传文件或访问shell的权限时.仅在你知道自己要作什么时才设置为YES
connect_from_port_20=YES
该选项用于设置是否使用20号端口传输数据.由于安全的原因,一些客户端坚持使用
20号端口,但是禁用该选项可以使vsftpd运行在更低的特权中
debug_ssl=NO
该选项为YES时,将会把OpenSSl连接的诊断信息存储在日志文件中。
delete_failed_uploads=YES
当设置为YES时,在上传文件失败时删除该文件.
deny_email_enable=NO
该选项用于指定一系列拒绝匿名用户登录的密码邮件.默认情况下包含邮件的文件为
/etc/vsftpd.banned_emails或由banned_email_file指定的文件中
dirlist_enable=YES
是否允许用户列出目录的内容
dirmessage_enable=YES
当为YES时表示当用户第一次进入一个新的目录时会显示目录的信息.默认情况下目录的
信息在目录里面的.message文件里.但是你可以用message_file来指定别的.
download_enable=YES
允许下载,若为NO时则不允许下载。
al_log_enable=NO
当设置为YES时将会同时产生两个日志文件,一个为/var/log/vsftpd.log(vsftpd自己
风格的日志文件)和/var/log/xferlog(wu-ftpd风格的日志文件可以被标准的工具分析)
force_dot_files=NO
若设置为YES时,在指定'ls -a'时会列出所有以.开始的隐藏文件,该选项则使.和..不列出
force_anno_data_ssl=NO
仅在ssl_enable为YES时可用,当该选项为YES时所有匿名用户登录时都要求使用SSL连接
进行数据传输
force_anon_logins_ssl=NO
仅在ssl_enable为YES时可用,当该选项为YES时所有匿名用户登录时都要求使用SSl连接
进行密码传输
force_local_data_ssl=YES
仅在ssl_enable为YES时可用,当为YES时,所有非匿名用户登录时都要求使用SSL链接进
行数据传输
force_local_logins_ssl=YES
仅在ssl_enable为YES时可用,当为YES时,所有非匿名用户登录时到要求使用SSL链接
进行密码传输
guest_enable=NO
设置是否允许非匿名用户作为"guest"登录,一个guest登录用户映射为guest_username
指定的一个用户名
hide_ids=YES
当设置为YES时,所有目录列表中的组和用户的信息都被隐藏,用"ftp"代替。
implicit_ssl=NO
当为YES时,在所有ftp连接的第一件事就是SSL握手
local_enable=YES
控制是否允许本地用户登录.(/etc/passwd中指定的用户登录)
lock_upload_files=YES
设置当用户上传文件时是否锁住上传的文件。
log_ftp_protocol=YES
当为YES时,所有FTP的请求和应答都被记录在日志文件中.可用于调试。
ls_recurse_enable=NO
设置是否允许递归列出目录及其子目录中的内容
mdtm_write=YES
允许使用MDTM设置修改的时间
no_anon_password=NO
当为YES时,将使vsftpd不会询问匿名用户的密码
no_log_lock=NO
当为YES时在记录日志时不会锁住日志文件
one_process_model=NO
允许登录用户只能使用一个进程
passwd_chroot_enable=NO
和chroot_local_user一起使用当为YES时.在用户转到自己主目录时不需要再输入密码。
pasv_addr_resolve=NO
若你想使用主机名的话就设置为YES
pasv_enable=YES
该选项用于设置是否使用PASV方式来获得数据连接。
pasv_promiscuous=NO
如果你想禁用PORT安全检查(确保输出的数据仅连接到客户端)则设置为YES.仅在你在你
知道你在作什么时.
require_cert=NO
若设置为YES时,则所有的SSl客户端连接都需要提供证书,有效的证书在validate_cert中指
定
require_ssl_reuse=NO
当设置为YES时,所有的SSl数据连接都需要检阅SSL会话安全尽管该选项默认是安全的,但是他可
能会破坏许多FTP客户端,所以你可能会禁用他
run_as_launching_user=NO
若你希望使用引导vsftpd运行的用户去运行vsftpd.该选项在不能使用root用户访问FTP时很
很有用。重要的警告!:不要使用该选项除非你真的知道你在作什么.
secure_email_list_enable=NO
若你想指定一系列的邮件密码让匿名用户登录。默认情况下邮件密码存放在/etc/vsftpd.email_passwords,
但可以email_password_file指定文件.
session_support=NO
该选项控制着vsftpd是否试图控制着登录会话.若vsftpd控制着登录会话的话,则会更新utmp和wtmp日志文件.
如果使用PAM认证的话他也会打开一个pam_session且只在退出登录后关闭.如果你不需要登录会话的话你可能
会关闭此选项。
setproctitle_enable=NO
若该选项为YES时vsftpd会试着显示系统中的进程的状态信息。换言之就是报告影响一个vsftpd
会话的进程名。
ssl_enable=NO
是否支持SSl连接。
ssl_request_cert=YES
SSL连接时是否需要认证.
ssl_sslv2=NO
该选项仅在ssl_enable可用时才应用当为YES时,允许SSL v2协议连接。TLS v1优先
ssl_sslv3=NO
该选项仅在ssl_enable为YES时可用.允许使用SSl v3协议连接.TLS v1优先
ssl_tlsv1=YES
该选项仅在ssl_enable为YES时可用,允许使用TLS v1协议。
strict_ssl_read_eof=NO
该选项为YES时,在上传数据时需要通过SSL连接的终端,而不是端口上的一个EOF
strict_ssl_write_shutdown=NO
当设置为YES时,在下载数据时需要通过SSL连接的端口,而不是端口上的一个EOF
syslog_enable=NO
该选项为YES时.任何原来记录到/var/log/vsftpd.log的信息都将记录到系统日志文件中
tcp_wrappers=YES
当该选项为YES时,连接时将通过tcp_wrapper访问控制(wrap为隐藏的意思)
text_userdb_names=NO
该选项为YES时设置显示用户名和组名.默认情况下使用的是UID和GID
tilde_user_enable=NO
控制vsftpd是否使用相对路径.(以~/something显示路径)
use_localtime=YES
设置是否使用本地用户所在的时区显示时间.默认显示的时间为GMT时区的.
use_sendfile=YES
用于设置在你的系统中使用sendfile()系统调用来测试的内部设置。
userlist_deny=NO
设置禁止登录的用户列表,用户列表在userlist_file中指定的文件中指定
userlist_enable=NO
允许从文件中加载允许登录的用户名列表
validate_cert=YES
若设置为YES时,所有的SSL客户端需要合法的认证书
virtual_use_local_privs=NO
该选项用于设置虚拟用户是否拥有和本地用户一样的特权.
write_enable=YES
该选项用于设置是否允许使用会改变FTP文件系统的命令.这些命令有:STOP,DELE,RNFR,
RNTO,MKD,RMD,APPE,SITE
xferlog_enable=YES
设置为YES时,会产生一个关于上传和下载的日志文件,默认的日志文件为/var/log/vsftp.log
但是可以通过vsftpd_log_file指定别的日志文件名
xferlog_std_format=NO
设置是否产生标准格式(wu-ftpd风格的)日志文件.默认的文件名/var/log/xferlog
但是可以通过xferlog_file指定别的日子文件名。
数字选项
说明:以下为数字选项,一个数字选项的值不能是负数,可以指定一个八进制的数字
在数字前加上'0'就是八进制的数值否则默认为十进制的数值.
accept_timeout=60
该选项用于设置一个PASV风格的连接的超时,单位为s
anon_max_rate=1024
该选项用于设置匿名用户的最大数据传输速度,单位b/s.若设置为0时表示无限制
anon_umask=077
该选项用于设置匿名用户创建文件时的权限掩码.
chown_upload_mode=0600
该选项用于设置匿名用户上传文件时使用chown强制改变文件的权限值
connect_timeout=60
用于设置连接超时
data_connection_timeout=120
用于设置没有进程使用时最大允许数据连接的超时
delay_failed_login=1
设置登录失败时要延迟1s后才可以再次连接
delay_successful_login=0
设置登录成功后的延迟时间,单位是s
file_open_mode=0777
设置上传文件的权限,若你希望上传的文件可以被执行你需要设置为0777
ftp_data_port=21
设置PORT风格的连接的端口,默认为20
idle_session_timeout=300
设置远程客户端使用两个FTP命令之间的最大时间,超时后则退出客户端连接
listen_port=21
当vsftpd在单独模式下运行时侦听的端口号
local_max_rate=2048
设置本地用户最大的传输速度,b/s,若设置为0表示为限制。
local_umask=0077
设置本地用户上传文件时的权限掩码
max_clients=10
设置最大连接的IP数为10
max_login_fails=5
设置在5次连接失败后终止会话
max_per_ip=1
设置每个IP地址最多可以连接的数目为1次。若设置为0时表示无限次
pasv_max_port=0
设置使用PASV风格连接时最大的端口号,0表示无限制
pasv_min_port=0
设置使用PASV风格连接时最小的端口号,0表示无限制
trans_chunk_size=0
你可能不会改变这个选项设置,但是你可以为更低宽带限制将此选项设置为像8192一样
字符串设置
anon_root=/home/ftp/ftp
设置匿名用户登录后转向的目录
banned_email_file=/home/huangyandong/logs/vsftpd/vsftpd.banned_emails
设置存放匿名用户邮件密码列表的文件
banner_file=/home/huangyandong/logs/vsftpd/vsftpd.banner
设置包含当用户登录FTP时显示的内容的文件,会覆盖由ftpd_banner设置的字符串
ca_certs_file
该选项设置加载认证证书的文件
chown_username=huangyandong
设置当上传文件后文件的所属关系该为huangyandong所有,仅在chown_uploads为YES时
可用
chroot_list_file=/home/huangyandong/logs/vsftpd/vsftpd.chroot_list
设置包含允许转到用户主目录的用户名的文件名,仅在chroot_local_user和chroot_list_enable
为YES时可用
cmds_allowed=PASV,RETR,QUIT
指定一系列由,隔开的允许使用的FTP命令
cmds_denied=DELE,RMD
指定一系列由,隔开的不允许使用的FTP命令
此处指定不允许删除文件和目录
deny_file
指定包含一系列不允许访问的文件名的文件
dsa_cert_file
指定加载DSA证书的文件名
dsa_private_key_file
指定包含DSA私钥的文件
email_password_file=/etc/vsftpd.email_password
指定包含邮件密码的文件
ftp_username=ftp
指定操作匿名用户使用的根目录的用户名
ftpd_banner
指定用户登录FTP时显示的内容
guest_username=ftp
指定游客映射的用户名
hide_file
指定要隐藏的文件名匹配
listen_address
指定当在单独模式下运行时侦听的IP地址
listen_address6
指定当在单独模式下运行时侦听的IPV6地址
local_root=/home/ftp/ftp
指定本地用户登录后转入的目录
message_file
该选项指定包含当用户转入一个新的目录时显示的内容的文件,默认文件为.message
仅在dirmessage_enable可用时才有用
secure_chroot_dir=/home/huangyandong/logs/vsftpd/empty
指定安全的目录名,该目录不能被ftp用户写入,在FTP文件系统不能访问是转入的目录
userlist_file=/etc/vsftpd.user_list
该选项用于指定在userlist_enable为YES时,从指定文件中加载用户列表
vsftpd_log_file=/home/huangyandong/logs/vsftpd/vsftpd.log
用于指定日志文件,默认为/var/log/vsftpd.log
xferlog_file=/home/huangyandong/logs/vsftpd/xferlog
用于在xferlog_enable为YES时指定标准的日志文件默认为/var/log/xferlog
‘伍’ [翻译]在 Ubuntu 中使用 SSL/TLS 加密 FTP 连接
在本教程中,我们将介绍如何在 Ubuntu 16.04 / 16.10 中使用 SSL / TLS 加密 FTP(本文中,我们将使用 VsFTP,一个号称非常安全的 FTP 软件)
在完成本指南中的所有步骤之后,我们将进一步去了解在FTP服务器中启用加密服务的基本原理,以确保能安全的传输数据。
必须在 Ubuntu中已经安装并配置完FTP服务器
请确保本文中的所有命令都将以root或sudo特权帐户运行。
1.我们将首先在 /etc/ssl/ 下创建一个子目录(如果这个目录不存在),以存储SSL / TLS证书和密钥文件:
2.现在,我们通过运行下面的命令在单个文件中生成证书和密钥。
上述命令将提示您回答以下问题,请输入自己特定的值。
3.在进行任何 VsFTP 配置之前,对于启用了UFW防火墙的用户,必须打开端口990和40000-50000,以允许在VSFTPD配置文件中分别设置TLS连接和被动端口的端口范围:
4.现在,打开VSFTPD配置文件并在其中定义SSL详细信息:
然后,添加或找到选项 ssl_enable 并将其值设置为 YES 以激活 SSL 的使用,因为 TLS 比 SSL 更安全,因此通过启用 ssl_tlsv1 选项,我们将限制 VSFTPD 使用 TLS:
5.接下来,使用 # 字符注释掉下面的行,如下所示:
6.现在,我们还必须防止匿名用户使用SSL,然后强制所有非匿名登录使用安全的SSL连接进行数据传输,并在登录期间发送密码:
7.此外,我们可以使用以下选项在FTP服务器中添加更多的安全功能。使用option_ssl_reuse = YES选项,所有SSL数据连接都需要展示SSL会话重用;证明他们知道与控制频道相同的主机密码。所以我们应该禁用它。
另外,我们可以通过设置 ssl_ciphers 选项来设置SSL密码等级。这将有助于阻挡试图强制使用特定密码的攻击。
8.然后,我们来定义被动端口的端口范围(最小和最大端口)。
9.我们可以使用debug_ssl选项启用SSL调试,将 openSSL 连接记录到VSFTPD日志文件中:
最后保存并关闭文件。然后重启 VSFTPD 服务:
10.执行上述所有配置后,通过从命令行使用FTP来测试VSFTPD是否正在使用SSL / TLS连接。
在下面的输出,有一个错误消息,VSFTPD 只允许用户(非匿名)从支持加密服务的安全客户端登录。
因为命令行不支持加密服务,从而导致了上述错误。因此,为了安全地连接到启用加密服务的FTP服务器,我们需要一个默认支持 SSL / TLS 连接的FTP客户端,例如FileZilla。
FileZilla是功能强大,广泛使用的跨平台FTP客户端,支持通过SSL / TLS等方式连接 FTP。要在Linux客户端计算机上安装FileZilla,请使用以下命令。
12.安装完成后,打开它并转到File => Sites Manager或按 Ctrl + S 以打开下面的站点管理器界面。
13.现在,添加主机/站点名称和IP地址,定义要使用的协议,加密和登录类型,如下面的屏幕截图(使用适用于您的实际情况的值):
14.然后点击从上面的“Connect”,输入密码,然后验证用于SSL / TLS连接的证书,然后单击“确定”再次连接到FTP服务器:
15.现在,您应该已经通过TLS连接成功登录到了FTP服务器,可以从下面的界面查看连接状态以获取更多信息。
16.最后,我们将文件从本地机器传输到FTP服务器的文件夹中,看看FileZilla界面的下端,查看有关文件传输的报告。
全部教程如上!永远记住,安装FTP服务器而不启用加密服务具有一定的安全隐患。正如我们在本教程中所述,您可以在 Ubuntu 16.04 / 16.10中配置FTP服务器以使用SSL / TLS来实现安全连接。
‘陆’ 阿里云上申请的ssl免费证书能不能直接用ftp安装
不可以,另外免费证书故障率很多,导致网站不能网站访问也是常见问题。