通过Openssl提供FTP+SSLTLS认证功能.docx

通过Openssl提供FTP+SSL/TLS认证功能并实现安全数据传输下面博文主要介绍基于SSL/TLS通过openssl工具实现FTP+SSL/TLS实现安全传输机制???? 要实现??? SSL/TLS功能，必须安装mod_ssl模块，所以需要事先安装mod_ssl及利用openssl工具创建私有CA，笔者在如何通过Openssl实现私有CA,并实现TLS/SSL功能的博文中详细介绍了如何通过openssl工具创建私有CA证书颁发机构，所以在这也不再阐述。??实现过程：Seq1：安装FTP所需要的软件包(可以使用源码编译安装，也可以选择rpm安装，这里采用的是rpm安装的方式)#?rpm?-q?vsftpd????????????##查看当前Linux系统是否安装vsftpd软件包 ?#?yum?install?vsftpd?-y????##如果没有安装，可以使用yum来安装 ?#?rpm?-ql?vsftpd???????????##查看vsftpd软件包在安装时，所生成的文件路径?Seq2：启动FTP服务器，并利用Linux自带的开源软件tcpdump来截获FTP登录时产生的相关报文，并分析用户名和密码。#?service?vsftpd?restart ?附加：tcpdump ?tcpdump的语法： ?????tcpdump?[options]?[Protocol]?[Direction]?[Host(s)]?[Value]?[Logical?Operations]?[Other?expression] ?#?tcpdump?-i?eth0?-nn?-X?tcp?port?21?and?ip?host?0?测试：用Windows客户机使用hadoop用户登录FTP服务器，验证是否FTP使用明文传输机制查看服务器产生的报文记录：(测试结果：不难发现用户和密码)Seq3：通过Openssl创建CA证书颁发机构：可以到笔者“openssl创建私有CA”了解详细信息“#?cd?/etc/pki/CA ?#?(umask?077;openssl?genrsa?-out?private/cakey.pem?2048) ?##生成私钥#?openssl?req?-new?-x509?-key?private/cakey.pem?cacert.pem?-days?3650?##生成自谦证书Seq4：通过Openssl为FTP服务提供一对密钥并申请证书颁发请求#?mkdir?/etc/vsftpd/ftps ?#?(umask?077;?openssl?genrsa?-out?ftps.key?1024) ? ##创建私钥#?openssl?req?-new?-key?ftps.key?-out?ftps.csr?-days?3650? ##发送证书颁发请求Seq5：CA证书颁发机构，收到证书颁发请求，并对证书(csr)颁发数字证书(crt)#?openssl?ca?-in?vsftpd.csr?-out?vsftpd.crt?-days?3650?Seq6：编辑FTP主配置文件,在最后一行添加如下内容ssl_enable=YES??????##启用ssl功能 ?ssl_tlsv1=YES??????##支持ssl哪些协议(tlsv1、sslv2(不建议使用)、sslv3) ?ssl_sslv3=YES ?allow_anon_ssl=NO???##对于匿名用户不采用ssl功能 ?force_local_data_ssl=YES???##数据在传输过程中采用ssl加密传输 ?force_local_logins_ssl=YES??##本地用户在登录FTP服务时，强制使用ssl功能 ?rsa_cert_file=/etc/vsftpd/ftps/vsftpd.crt???##FTP服务的数字证书(公钥)，存放的位置 ?rsa_private_key_file=/etc/vsftpd/ftps/vsftpd.key??##FTP服务自身的密钥(私钥)，存放位置(权限为600)?Seq7:设置iptables和SElinux注：在写iptables会话规则时，需要加载ip_conntrack_ftp和ip_nat_ftp这两块模块 ?#?vim?/etc/sysconfig/iptables-config ?IPTABLES_MODULES=ip_conntrack_ftp?ip_nat_ftp?#?iptables?-F ?#?iptables?-P?INPUT?DROP?#?iptables?-P?OUTPUT?DROP?#?iptables?-P?FORWARD?DROP?#?iptables?-A?INPUT?-d?0?-p?tc