在CentOS上为VSFTPD设置SSL加密,你需要完成以下步骤:
首先,确保你的系统已经安装了vsftpd和openssl。如果没有,请使用以下命令安装:
sudo yum install vsftpd openssl 使用openssl生成自签名SSL证书和私钥。请将以下命令中的/etc/vsftpd/ssl替换为你希望存储证书和私钥的目录。
sudo mkdir /etc/vsftpd/ssl sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/vsftpd/ssl/vsftpd.key -out /etc/vsftpd/ssl/vsftpd.crt 按照提示输入相关信息。生成的证书和私钥文件将分别保存在/etc/vsftpd/ssl/vsftpd.crt和/etc/vsftpd/ssl/vsftpd.key。
编辑/etc/vsftpd/vsftpd.conf文件,添加或修改以下配置项:
listen=NO listen_ipv6=YES anonymous_enable=NO local_enable=YES write_enable=YES chroot_local_user=YES allow_writeable_chroot=YES ssl_enable=YES ssl_tlsv1=YES ssl_sslv2=NO ssl_sslv3=NO rsa_cert_file=/etc/vsftpd/ssl/vsftpd.crt rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.key force_local_data_ssl=YES force_local_logins_ssl=YES ssl_ciphers=HIGH 这些配置项将启用SSL加密,并指定证书和私钥文件的路径。你还可以根据需要调整其他配置项。
保存配置文件后,重启VSFTPD服务以应用更改:
sudo systemctl restart vsftpd 如果你的系统启用了防火墙,请确保开放FTP服务的端口(默认为21)和被动模式端口范围。以下命令允许FTP服务和被动模式端口范围的流量:
sudo firewall-cmd --permanent --zone=public --add-service=ftp sudo firewall-cmd --permanent --zone=public --add-port=20/tcp sudo firewall-cmd --permanent --zone=public --add-port=1024-1048/tcp sudo firewall-cmd --reload 现在,你的VSFTPD服务器应该已经成功配置了SSL加密。请注意,由于我们使用的是自签名证书,客户端可能会收到安全警告。在生产环境中,建议使用权威证书颁发机构(CA)签发的证书。
