在Debian上为VSFTPD配置SSL加密,可以按照以下步骤进行:
首先,确保你的系统是最新的,并安装VSFTPD和SSL相关的包。
sudo apt update
sudo apt install vsftpd openssl
使用OpenSSL生成自签名证书和私钥。你可以选择生成一个自签名的证书,或者从CA获取一个证书。
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/certs/vsftpd.pem
在生成过程中,系统会提示你输入一些信息,如国家、组织名称等。这些信息将包含在证书中。
编辑VSFTPD的配置文件 /etc/vsftpd.conf,添加或修改以下配置项:
listen=YES
listen_ssl=YES
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
rsa_cert_file=/etc/ssl/certs/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
listen_ssl=YES:启用SSL监听。ssl_enable=YES:启用SSL。allow_anon_ssl=NO:不允许匿名用户使用SSL。force_local_data_ssl=YES:强制本地数据连接使用SSL。force_local_logins_ssl=YES:强制本地登录使用SSL。ssl_tlsv1=YES:启用TLSv1。ssl_sslv2=NO:禁用SSLv2。ssl_sslv3=NO:禁用SSLv3。rsa_cert_file:指定SSL证书文件路径。rsa_private_key_file:指定SSL私钥文件路径。保存配置文件后,重启VSFTPD服务以应用更改。
sudo systemctl restart vsftpd
你可以使用 openssl 命令来验证SSL配置是否正确。
openssl s_client -connect localhost:21 -starttls ftp
如果一切配置正确,你应该会看到SSL握手成功的消息,并且连接是通过SSL加密的。
确保你的防火墙允许FTP和SSL流量。如果你使用的是 ufw,可以添加以下规则:
sudo ufw allow 21/tcp
sudo ufw allow 990/tcp # FTPS数据连接端口
sudo ufw allow 40000:50000/tcp # 动态端口范围(可选)
然后重新加载防火墙规则:
sudo ufw reload
通过以上步骤,你应该能够在Debian上成功配置VSFTPD使用SSL加密。