使用SSLTLS加固FTP服务器课件

数据加密传输数据加密传输项目描述某公司在校园网中使用vsftpd搭建了一个FTP服务器，在使用中发现有人采用抓包软件抓取访问口令。为了保证客户机和服务器之间传输数据的保密性和完整性，公司决定使用SSL/TLS协议加固FTP服务器，客户机和服务器之间采用SSL/TLS协议加密数据。项目描述某公司在校园网中使用vsftpd搭建了一个F拓扑图FTP服务器0/24FTP客户端0/24FTP移动客户端FTP客户端上传下载拓扑图FTP服务器FTPFTPFTP上传下载一、SSL/TLS协议概述FTP（文件传输协议）是采用明文传输的，意味着它不会加密两台机器之间传输的数据以及用户的凭据。这使得数据和服务器安全面临很大威胁。SSL（SecureSocketLayer，安全套接字层）

是一个安全协议，它提供使用

TCP/IP

的通信应用程序间的隐私与完整性。在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等初始化协商功能，在此基础上为双方通讯提供数据封装、压缩、加密等基本功能。其协商过程如下图。TLS：(TransportLayerSecurity，传输层安全协议)，用于两个应用程序之间提供保密性和数据完整性。它建立在SSL3.0协议规范之上，是SSL3.0的后续版本。一、SSL/TLS协议概述FTP（文件传输协议）是采用明文传一、SSL/TLS协议概述客户机发出会话请求0客户机生成随机对称密钥，并用服务器的公钥加密服务器发送X.509证书（包含服务器的公钥）客户机和服务器都知道了对称密钥，并用它来加密会话期间的最终用户数据客户端用已知的CA列表来认证服务器的证书，如果不知道CA，会显示证书并让用户选择自担风险来接受证书一、SSL/TLS协议概述客户机发出会话请求ftp://19二、使用SSL/TLS加固FTP服务器1.生成SSL/TLS证书和密钥[root@server~]#mkdir/etc/ssl/serverkey//创建用于保存SSL/TLS证书和密钥文件的子目录[root@server~]#opensslreq-x509-nodes-keyout/etc/ssl/serverkey/vsftpd.pem-out/etc/ssl/serverkey/vsftpd.pem-days365-newkeyrsa:2048//创建证书和密钥并保存到一个文件中//opensslreq用于生成证书请求。//-x509

:-X.509标准证书数据管理。//-nodes：明确指定不需要密码保护。//-keyout

:-keyout可以指定生成的私钥文件名。//-out:设置证书存储文件，注意证书和密钥都保存在一个相同的文件：/etc/ssl/serverkey/vsftpd.pem。//-days:定义证书的有效日期。//-newkey:指定证书密钥处理器。//rsa:2048

:RSA密钥处理器，会生成一个2048位的密钥。二、使用SSL/TLS加固FTP服务器1.生成SSL/TL二、使用SSL/TLS加固FTP服务器2.根据命令提示设置证书相关详细情况CountryName(2lettercode)[XX]:CNStateorProvinceName(fullname)[]:hubeiLocalityName(eg,city)[DefaultCity]:yichangOrganizationName(eg,company)[DefaultCompanyLtd]:OrganizationalUnitName(eg,section)[]:sxzyCommonName(eg,yournameoryourserver'shostname)[]:server-ftpEmailAddress[]:amdin@二、使用SSL/TLS加固FTP服务器2.根据命令提示设置证二、使用SSL/TLS加固FTP服务器3.配置VSFTPD使用SSL/TLS的端口[root@server~]#firewall-cmd--zone=public--permanent--add-port=990/tcp[root@server~]#firewall-cmd--zone=public--permanent--add-port=40000-50000/tcp//开放990和40000-50000端口，以便在VSFTPD配置文件中分别定义TLS连接的端口和被动端口的端口范围。[root@server~]#firewall-cmd--reload二、使用SSL/TLS加固FTP服务器3.配置VSFTPD二、使用SSL/TLS加固FTP服务器4.配置VSFTPD配置文件并在文件中指定SSL的详细信息[root@server~]#vim/etc/vsftpd/vsftpd.confssl_enable=YES//启用ssl（需添加）ssl_tlsv1=YES//指定vsftpd支持TLSv1(TSL比SSL更安全)（需添加）ssl_sslv2=NO//指定vsftpd不支持SSLv2（需添加）ssl_sslv3=NO//指定vsftpd不支持SSLv3（需添加）rsa_private_key_file=/etc/ssl/serverkey/vsftpd.pem//指定私钥路径（需添加）rsa_cert_file=/etc/ssl/serverkey/vsftpd.pem//指定SSL证书路径（需添加）allow_anon_ssl=NO//禁止匿名用户使用SSL（需添加）force_local_logins_ssl=yes

//强制所有非匿名用户使用加密登陆（需添加）force_local_data_ssl=yes

//强制所有非匿名用户使用加密数据传输（需添加）二、使用SSL/TLS加固FTP服务器4.配置VSFTPD二、使用SSL/TLS加固FTP服务器4.配置VSFTPD配置文件并在文件中指定SSL的详细信息pasv_min_port=40000//被动端口的范围（需添加）pasv_max_port=50000[root@server~]#systemctlrestartvsftpd.service二、使用SSL/TLS加固FTP服务器4.配置VSFTPD三、客户端验证1.配置创建验证用户及文档[root@server~]#useraddstudent[root@server~]#passwdstudent[root@server~]#echothisistestfile>/home/student/test.txt三、客户端验证1.配置创建验证用户及文档三、客户端验证2.匿名用户登录[root@localhost~]#ftp0Name(0:root):ftp230Loginsuccessful.//匿名用户登录不需要使用SSL（allow_anon_ssl=NO）3.非匿名用户登录[root@localhostclient]#ftp0Name(0:root):student530Non-anonymoussessionsmustuseencryption.//提示

只允许用户从支持加密服务的客户端登录。Loginfailed.三、客户端验证2.匿名用户登录三、客户端验证4、安装支持SSL/TLS连接的FTP客户端，例如FileZilla。[root@localhost~]#yum

installepel-releasefilezilla//客户机安装filezilla软件5、使用FileZilla登录服务器三、客户端验证4、安装支持SSL/TLS连接的FTP三、客户端验证显示服务器证书信息并提示客户机三、客户端验证显示服务器证书信息并提示客户机三、客户端验证TLS/SSL连接建立成功，下载文件成功三、客户端验证TLS/SSL连接建立成功，下载文件成功小结SSL/TLS证书和私钥的生成主配文件的修改客户机的访问小结SSL/TLS证书和私钥的生成谢谢谢谢数据加密传输数据加密传输项目描述某公司在校园网中使用vsftpd搭建了一个FTP服务器，在使用中发现有人采用抓包软件抓取访问口令。为了保证客户机和服务器之间传输数据的保密性和完整性，公司决定使用SSL/TLS协议加固FTP服务器，客户机和服务器之间采用SSL/TLS协议加密数据。项目描述某公司在校园网中使用vsftpd搭建了一个F拓扑图FTP服务器0/24FTP客户端0/24FTP移动客户端FTP客户端上传下载拓扑图FTP服务器FTPFTPFTP上传下载一、SSL/TLS协议概述FTP（文件传输协议）是采用明文传输的，意味着它不会加密两台机器之间传输的数据以及用户的凭据。这使得数据和服务器安全面临很大威胁。SSL（SecureSocketLayer，安全套接字层）

是一个安全协议，它提供使用

TCP/IP

的通信应用程序间的隐私与完整性。在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等初始化协商功能，在此基础上为双方通讯提供数据封装、压缩、加密等基本功能。其协商过程如下图。TLS：(TransportLayerSecurity，传输层安全协议)，用于两个应用程序之间提供保密性和数据完整性。它建立在SSL3.0协议规范之上，是SSL3.0的后续版本。一、SSL/TLS协议概述FTP（文件传输协议）是采用明文传一、SSL/TLS协议概述客户机发出会话请求0客户机生成随机对称密钥，并用服务器的公钥加密服务器发送X.509证书（包含服务器的公钥）客户机和服务器都知道了对称密钥，并用它来加密会话期间的最终用户数据客户端用已知的CA列表来认证服务器的证书，如果不知道CA，会显示证书并让用户选择自担风险来接受证书一、SSL/TLS协议概述客户机发出会话请求ftp://19二、使用SSL/TLS加固FTP服务器1.生成SSL/TLS证书和密钥[root@server~]#mkdir/etc/ssl/serverkey//创建用于保存SSL/TLS证书和密钥文件的子目录[root@server~]#opensslreq-x509-nodes-keyout/etc/ssl/serverkey/vsftpd.pem-out/etc/ssl/serverkey/vsftpd.pem-days365-newkeyrsa:2048//创建证书和密钥并保存到一个文件中//opensslreq用于生成证书请求。//-x509

:-X.509标准证书数据管理。//-nodes：明确指定不需要密码保护。//-keyout

:-keyout可以指定生成的私钥文件名。//-out:设置证书存储文件，注意证书和密钥都保存在一个相同的文件：/etc/ssl/serverkey/vsftpd.pem。//-days:定义证书的有效日期。//-newkey:指定证书密钥处理器。//rsa:2048

:RSA密钥处理器，会生成一个2048位的密钥。二、使用SSL/TLS加固FTP服务器1.生成SSL/TL二、使用SSL/TLS加固FTP服务器2.根据命令提示设置证书相关详细情况CountryName(2lettercode)[XX]:CNStateorProvinceName(fullname)[]:hubeiLocalityName(eg,city)[DefaultCity]:yichangOrganizationName(eg,company)[DefaultCompanyLtd]:OrganizationalUnitName(eg,section)[]:sxzyCommonName(eg,yournameoryourserver'shostname)[]:server-ftpEmailAddress[]:amdin@二、使用SSL/TLS加固FTP服务器2.根据命令提示设置证二、使用SSL/TLS加固FTP服务器3.配置VSFTPD使用SSL/TLS的端口[root@server~]#firewall-cmd--zone=public--permanent--add-port=990/tcp[root@server~]#firewall-cmd--zone=public--permanent--add-port=40000-50000/tcp//开放990和40000-50000端口，以便在VSFTPD配置文件中分别定义TLS连接的端口和被动端口的端口范围。[root@server~]#firewall-cmd--reload二、使用SSL/TLS加固FTP服务器3.配置VSFTPD二、使用SSL/TLS加固FTP服务器4.配置VSFTPD配置文件并在文件中指定SSL的详细信息[root@server~]#vim/etc/vsftpd/vsftpd.confssl_enable=YES//启用ssl（需添加）ssl_tlsv1=YES//指定vsftpd支持TLSv1(TSL比SSL更安全)（需添加）ssl_sslv2=NO//指定vsftpd不支持SSLv2（需添加）ssl_sslv3=NO//指定vsftpd不支持SSLv3（需添加）rsa_private_key_file=/etc/ssl/serverkey/vsftpd.pem//指定私钥路径（需添加）rsa_cert_file=/etc/ssl/serverkey/vsftpd.pem//指定SSL证书路径（需添加）allow_anon_ssl=NO//禁止匿名用户使用SSL（需添加）force_local_logins_ssl=yes

//强制所有非匿名用户使用加密登陆（需添加）force_local_data_ssl=yes

//强制所有非匿名用户使用加密数据传输（需添加）二、使用SSL/TLS加固FTP服务器4.配置VSFTPD二、使用SSL/TLS加固FTP服务器4.配置VSFTPD配置文件并在文件中指定SSL的详细信息pasv_min_port=40000//被动端口的范围（需添加）pasv_max_port=50000[root@server~]#systemctlrestartvsftpd.service二、使用SSL/TLS加固FTP服务器4.配置VSFTPD三、客户端验证1.配置创建验证用户及文档[root@server~]#useraddstudent[root@ser