在CentOS上为VSFTPD设置SSL加密,你需要完成以下步骤:
首先,确保你的系统已经安装了vsftpd和openssl。如果没有,请使用以下命令安装:
sudo yum install vsftpd openssl
使用openssl生成自签名SSL证书和私钥。请将以下命令中的/etc/vsftpd/ssl替换为你希望存储证书和私钥的目录。
sudo mkdir /etc/vsftpd/ssl
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/vsftpd/ssl/vsftpd.key -out /etc/vsftpd/ssl/vsftpd.crt
按照提示输入相关信息。生成的证书和私钥文件将分别保存在/etc/vsftpd/ssl/vsftpd.crt和/etc/vsftpd/ssl/vsftpd.key。
编辑/etc/vsftpd/vsftpd.conf文件,添加或修改以下配置项:
listen=NO
listen_ipv6=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES
allow_writeable_chroot=YES
ssl_enable=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
rsa_cert_file=/etc/vsftpd/ssl/vsftpd.crt
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.key
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_ciphers=HIGH
这些配置项将启用SSL加密,并指定证书和私钥文件的路径。你还可以根据需要调整其他配置项。
保存配置文件后,重启VSFTPD服务以应用更改:
sudo systemctl restart vsftpd
如果你的系统启用了防火墙,请确保开放FTP服务的端口(默认为21)和被动模式端口范围。以下命令允许FTP服务和被动模式端口范围的流量:
sudo firewall-cmd --permanent --zone=public --add-service=ftp
sudo firewall-cmd --permanent --zone=public --add-port=20/tcp
sudo firewall-cmd --permanent --zone=public --add-port=1024-1048/tcp
sudo firewall-cmd --reload
现在,你的VSFTPD服务器应该已经成功配置了SSL加密。请注意,由于我们使用的是自签名证书,客户端可能会收到安全警告。在生产环境中,建议使用权威证书颁发机构(CA)签发的证书。