linux下使用vsftp搭建FTP服务器：匿名登录，账号登录，SSL加密传输

目录

• 一.关于FTP和VSFTP
• 二.ftp、sftp、vsftp、vsftpd的区别
• 三.项目一:搭建一台所有人都可以访问的通用FTP服务器
  • 3.1 项目要求
  • 3.2 项目思路分析
  • 3.3 使用vsftp搭建可以匿名访问的FTP服务器
• 四.项目二:搭建一台只有特定用户才能访问的专有FTP服务器
  • 4.1 项目要求
  • 4.2 项目思路分析
  • 4.3 使用vsftp搭建特定用户登录的专用FTP服务器

一.关于FTP和VSFTP

1.FTP（File Transfer Protocol: 文件传输协议）是用来在Internet 上传送文件的协议。FTP服务器（File Transfer Protocol Server）是文件传输协议服务器，是在互联网上提供文件存储和访问服务的计算机，它们依照FTP协议提供服务。

2.VSFTP是一个基于GPL发布的类Unix系统上使用的FTP服务器软件，它的全称是Very Secure FTP 从此名称可以看出来，编制者的初衷是代码的安全。VSFTP具有安全、高速、稳定的特点。VSFTP的软件架构为C/S 模式（即一个客户端一个服务器端）。

3.FTP的端口有两个：20和21，20端口用来进行数据传输，21端口是控制端口，用于传输指令。查看FTP端口的方法如下:

[root@node5 ~]# cat /etc/services | grep "^ftp"
ftp-data        20/tcp
ftp-data        20/udp
ftp             21/tcp
ftp             21/udp          fsp fspd
ftp-data        20/sctp                 # FTP
ftp             21/sctp                 # FTP
ftp-agent       574/tcp                 # FTP Software Agent System
ftp-agent       574/udp                 # FTP Software Agent System
ftps-data       989/tcp                 # ftp protocol, data, over TLS/SSL
ftps-data       989/udp                 # ftp protocol, data, over TLS/SSL
ftps            990/tcp                 # ftp protocol, control, over TLS/SSL
ftps            990/udp                 # ftp protocol, control, over TLS/SSL

4.FTP的会话包含了两个通道，控制通道和数据传输通道，FTP有两种工作模式，一种是主动模式，一种是被动模式，以FTP Server为参考点，主动模式就是服务器端主动连接客户端传输，被动模式就是服务器端等待客户端连接。

5.vsftp有服务器端和客户端，服务器端为vsftpd，客户端为lftp，lftp的语法如下：

#lftp安装方法
[root@node8 ~]# yum -y install lftp

lftp的语法为:lftp ip -p port -u user,'password' -e'commands ; bye'
下载命令为get，上传命令为put

6.vsftp配置文件介绍

#vsftpd 的核心配置文件
/etc/vsftpd/vsftpd.conf
#用于指定哪些用户不能访问FTP 服务器，即黑名单
/etc/vsftpd/ftpusers
#指定允许使用VSFTP的用户列表文件，即白名单
/etc/vsftpd/user_list
#vsftpd 操作的一些变量和设置脚本
/etc/vsftpd/vsftpd_conf_migrate.sh
#默认情况下匿名用户的根目录
/var/ftp/

7./etc/vsftpd/ftpusers，/etc/vsftpd/user_list，vsftpd.conf中的userlist_enable和userlist_deny两个配置项的解释

问题一：ftpusers和user_list两个文件各自的用途是什么？有何关系？  
首先请明确一点：ftpusers不受任何配制项的影响，它总是有效，它是一个黑名单！该文件存放的是一个禁止访问FTP的用户列表，通常为了安全考虑，管理员不希望一些拥有过大权限的帐号（比如root)登入FTP，以免通过该帐号从FTP上传或下载一些危险位置上的文件从而对系统造成损坏。而user_list则是和vsftpd.conf中的userlist_enable和userlist_deny两个配置项紧密相关的，它可以有效，也可以无效，有效时它可以是一个黑名单，也可以是一个白名单！那么是什么的设置决定了它的作用呢？这就是问题二要解释的。所以简单总结就是：ftpusers和user_list没有任何关系，ftpusers文件总是生效，user_list则取决于userlist_enable和userlist_deny两项配置。  

问题二：vsftpd.conf中的userlist_enable和userlist_deny两个配置项各自起什么作用，两者如何搭配使用?  
为了说明这个问题，我们来建立两个测试用户：  
tom: 在user_list中  
jim:不在user_list中  
然后我们分别给两个配置项取不同的值，分4种Case进行测试：  
Case 1: userlist_enable=YES, userlist_deny=YES  
tom: 拒绝登入  
jim: 允许登录  
Case 2: userlist_enable=YES, userlist_deny=NO  
tom: 允许登录  
jim:拒绝登录（如user_list文件开头的注释所述，甚至不会提示输入密码，即无登入提示框，直接拒绝连接）  
Case 3: userlist_enable=NO,userlist_deny=NO  
tom: 允许登录  
jim: 允许登录  
Case 4: userlist_enable=NO,userlist_deny=YES  
tom: 允许登录  
jim: 允许登录  

综上实验得出以下结论：  
userlist_enable和userlist_deny两个选项联合起来针对的是：本地全体用户（除去ftpusers中的用户）和出现在user_list文件中的用户以及不在在user_list文件中的用户这三类用户集合进行的设置。  
当且仅当userlist_enable=YES时：userlist_deny项的配置才有效，user_list文件才会被使用；当其为NO时，无论userlist_deny项为何值都是无效的，本地全体用户（除去ftpusers中的用户）都可以登入FTP  
当userlist_enable=YES时，userlist_deny=YES时：user_list是一个黑名单，即：所有出现在名单中的用户都会被拒绝登入；  
当userlist_enable=YES时，userlist_deny=NO时：user_list是一个白名单，即：只有出现在名单中的用户才会被准许登入(user_list之外的用户都被拒绝登入)；另外需要特别提醒的是：使用白名单后，匿名用户将无法登入！除非显式在user_list中加入一行：anonymous 

二.ftp、sftp、vsftp、vsftpd的区别

简单介绍下ftp、sftp、vsftp、vsftpd的区别

• ​ ftp 是File Transfer Protocol的缩写，是一种用于在网络上进行文件传输的协议，使用客户/服务器模式。它属于网络传输协议的应用层；
• ​ sftp 是SSH File Transfer Protocol的缩写，sftp是基于ssh协议的加密ftp传输协议。SFTP 为 SSH的一部分，SFTP使用加密传输认证信息来传输数据，所以，使用SFTP是非常安全的。sftp是sshd里的一个 subsystem，ssh默认包含sftp功能,也可以更改设置禁止它。sftp 走的是ssh协议，开启了sshd就相当于开启了sftp，可以使用sftp命令登录目标目录，比如：sftp root@192.168.110.186；
• ​ vsftp 是Very Secure FTP的缩写，vsftp是一个基于GPL发布的类Unix系统上使用的ftp服务器软件；vsftp是一款ftp服务器，支持ftp协议，不支持sftp协议；
• ​ vsftpd 是very secure FTP daemon的缩写，vsftpd是vsftp的守护进程。

三.项目一:搭建一台所有人都可以访问的通用FTP服务器

3.1 项目要求

​ 搭建一台通用FTP服务器，局域网内的所有员工都可以访问，员工可以进行上传/下载文件的操作，并创建属于自己的目录。

3.2 项目思路分析

​ 由于需要所有员工都可以访问，所以需要设置成可以匿名用户登录，还要开启上传文件，创建文件的权限。

3.3 使用vsftp搭建可以匿名访问的FTP服务器

1.vsftp分为客户端和服务器端，如果配置好了yum源的话，直接使用yum命令安装,如果没有配置好yum源的话，可以参考博客“linux 配置本地yum源，配置国内yum源，配置epel源”进行配置，网址为：https://www.cnblogs.com/renshengdezheli/p/13949693.html

#安装vsftp服务器端
[root@node5 ~]# yum -y install vsftpd

[root@node5 ~]# rpm -qa | grep vsftpd
vsftpd-3.0.2-28.el7.x86_64

#启动vsftp
[root@node5 ~]# systemctl start vsftpd

#查看vsftp启动状态
[root@node5 ~]# systemctl status vsftpd
● vsftpd.service - Vsftpd ftp daemon
   Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; disabled; vendor preset: disabled)
   Active: active (running) since Sat 2020-12-19 20:57:15 CST; 5s ago
  Process: 66964 ExecStart=/usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf (code=exited, status=0/SUCCESS)
 Main PID: 66965 (vsftpd)
   CGroup: /system.slice/vsftpd.service
           └─66965 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

Dec 19 20:57:15 node5 systemd[1]: Starting Vsftpd ftp daemon...
Dec 19 20:57:15 node5 systemd[1]: Started Vsftpd ftp daemon.

[root@node5 ~]# systemctl enable vsftpd
Created symlink from /etc/systemd/system/multi-user.target.wants/vsftpd.service to /usr/lib/systemd/system/vsftpd.service.
[root@node5 ~]#
[root@node5 ~]# systemctl is-enabled vsftpd
enabled

#查看已安装的vsftp命令，生成了哪些文件
[root@node5 ~]# rpm -ql vsftpd
/etc/logrotate.d/vsftpd
/etc/pam.d/vsftpd
/etc/vsftpd
/etc/vsftpd/ftpusers
/etc/vsftpd/user_list
/etc/vsftpd/vsftpd.conf
/etc/vsftpd/vsftpd_conf_migrate.sh
......
/var/ftp
/var/ftp/pub

#安装vsftp服务器端
[root@node5 ~]# yum -y install lftp

[root@node5 ~]# rpm -qa | grep lftp
lftp-4.4.8-12.el7_8.1.x86_64

#查看FTP的端口：我们只查到21号端口，但是20号端口没有查看到？是因为没有数据传输，20号端口是用于传输数据的，所以20号端口是尚未开启，如有数据传输时，20号端口则会开启。
[root@node5 ~]# netstat -antup | grep ftp
tcp6       0      0 :::21                   :::*                    LISTEN      66965/vsftpd

2.修改vsftp的配置文件vsftpd.conf

[root@node5 ~]# cd /etc/vsftpd/
[root@node5 vsftpd]# pwd
/etc/vsftpd
[root@node5 vsftpd]# ls
ftpusers  user_list  vsftpd.conf  vsftpd_conf_migrate.sh  vsftpd.conf.rpmsave

#备份vsftp配置文件
[root@node5 vsftpd]# cp vsftpd.conf{,.bak}
[root@node5 vsftpd]# ls
ftpusers  user_list  vsftpd.conf  vsftpd.conf.bak  vsftpd_conf_migrate.sh  vsftpd.conf.rpmsave

#编辑配置文件vsftpd.conf，主要添加如下三个配置
[root@node5 vsftpd]# vim vsftpd.conf
anonymous_enable=YES
anon_upload_enable=YES
#控制是否允许匿名用户创建目录
anon_mkdir_write_enable=YES
#修改匿名用户登录的目录的权限，如果不进行此步骤，则不能创建文件夹
[root@node5 vsftpd]# chown ftp:ftp /var/ftp/pub/

#重启vsftp
[root@node5 vsftpd]# systemctl restart vsftpd

3.使用windows的资源管理器进行访问FTP服务器，输入ftp://192.168.110.184/，如下图，

发现在pub目录可以进行上传下载，但是不能重命名文件夹，只能新建叫做“新建文件夹”的文件夹，也不能删除文件

4.再次修改配置文件vsftpd.conf

#vsftpd.conf里添加如下一项配置
[root@node5 vsftpd]# vim vsftpd.conf
#启用匿名帐号可以有写的权限
anon_other_write_enable=YES  		

#重启
[root@node5 vsftpd]# systemctl restart vsftpd

5.再次使用windows的资源管理器登录，发现已经可以上传，下载，新建文件夹，重命名文件夹，删除文件夹了，值得注意的是删除文件夹的权限太大了，使用这个anon_other_write_enable=YES参数需要考虑安全性。默认匿名用户家目录的权限是755，这个权限是不能改变的。切记！

在浏览器里也可访问FTP服务器

使用FTP客户端也可访问FTP服务器，使用另一台linux服务器node8的FTP客户端进行访问

#在node8上安装FTP客户端
[root@node8 ~]# yum -y install lftp

[root@node8 ~]# rpm -qa | grep lftp
lftp-4.4.8-8.el7_3.2.x86_64

#登录FTP服务器
[root@node8 ~]# lftp 192.168.110.184
lftp 192.168.110.184:~> pwd
ftp://192.168.110.184
lftp 192.168.110.184:~>
lftp 192.168.110.184:~> ls
drwxr-xr-x    4 14       50            107 Dec 19 16:29 pub
lftp 192.168.110.184:/> cd pub/
lftp 192.168.110.184:/pub> pwd
ftp://192.168.110.184/pub
lftp 192.168.110.184:/pub> ls
drwx------    2 14       50              6 Dec 19 13:31 1219
drwx------    2 14       50              6 Dec 19 13:33 1220
-rw-------    1 14       50         914424 Dec 19 16:24 a0996921f120ade16b43c340f3ed18f.png
-rw-------    1 14       50       11814302 Dec 19 16:29 mycat-definitive-guide.pdf
lftp 192.168.110.184:/pub> mkdir node8
mkdir ok, `node8' created
lftp 192.168.110.184:/pub> ls
drwx------    2 14       50              6 Dec 19 13:31 1219
drwx------    2 14       50              6 Dec 19 13:33 1220
-rw-------    1 14       50         914424 Dec 19 16:24 a0996921f120ade16b43c340f3ed18f.png
-rw-------    1 14       50       11814302 Dec 19 16:29 mycat-definitive-guide.pdf
drwx------    2 14       50              6 Dec 19 16:43 node8
lftp 192.168.110.184:/pub> exit

FileZilla是方便高效的FTP客户端工具，现在使用FileZilla来访问FTP服务器，FileZilla的连接配置如下图：

使用FileZilla连接成功之后，可以正常进行上传/下载,新建/删除文件夹

四.项目二:搭建一台只有特定用户才能访问的专有FTP服务器

4.1 项目要求

搭建一台专用FTP服务器：禁止匿名登录，只能有两个用户tom1和tom2使用密码登录FTP服务器，并且tom1和tom2禁止登录本地系统，tom1和tom2用户登录FTP服务器之后，限定根目录为/usr/local/apache-tomcat-8.0.51/webapps（即tomcat的发布目录），不能进入该目录以外的任何目录，此FTP服务器还需设置成加密传输数据，不能明文传输数据。

4.2 项目思路分析

由于只能让特定用户登录FTP，所以必须禁止匿名登录，还需要把tom1用户和tom2用户的shell设定为/sbin/nologin，还需要使用chroot 功能将team1用户和team2用户的根目录锁定在/usr/local/apache-tomcat-8.0.51/webapps目录下，使用SSL证书加密传输数据，如果需要删除文件则还需要注意本地权限。

4.3 使用vsftp搭建特定用户登录的专用FTP服务器

1.先安装vsftp的服务器端和客户端

[root@node8 ~]# yum -y install vsftpd

[root@node8 ~]# rpm -qa | grep vsftpd
vsftpd-3.0.2-22.el7.x86_64

[root@node8 ~]# yum -y install lftp

[root@node8 ~]# rpm -qa | grep lftp
lftp-4.4.8-8.el7_3.2.x86_64

2.创建用户tom1和tom2

[root@node8 ~]# useradd -s /sbin/nologin tom1 && echo "123456" | passwd --stdin tom1
Changing password for user tom1.
passwd: all authentication tokens updated successfully.

[root@node8 ~]# useradd -s /sbin/nologin tom2 && echo "123456" | passwd --stdin tom2
Changing password for user tom2.
passwd: all authentication tokens updated successfully.

3.确定tomcat的发布目录存在

[root@node8 ~]# cd /usr/local/
[root@node8 local]# ls
apache-tomcat-8.0.51  bin  etc  games  include  lib  lib64  libexec  mysql  sbin  share  src
[root@node8 local]# cd apache-tomcat-8.0.51/webapps/
[root@node8 webapps]# ls
docs  examples  host-manager  index.jsp  manager  ROOT  test
[root@node8 webapps]# pwd
/usr/local/apache-tomcat-8.0.51/webapps

4.备份vsftp的配置文件，然后进行修改，并建立锁定用户文件

[root@node8 ~]# cd /etc/vsftpd/
[root@node8 vsftpd]# pwd
/etc/vsftpd
[root@node8 vsftpd]# ls
ftpusers  user_list  vsftpd.conf  vsftpd_conf_migrate.sh

[root@node8 vsftpd]# cp vsftpd.conf{,.bak}
[root@node8 vsftpd]# ls
ftpusers  user_list  vsftpd.conf  vsftpd.conf.bak  vsftpd_conf_migrate.sh

#配置文件主要修改以下几项
[root@node8 vsftpd]# vim vsftpd.conf
#禁止匿名用户登录
anonymous_enable=NO
#允许本地用户登录
local_enable=YES
#设置本地用户登录的根目录为/usr/local/apache-tomcat-8.0.51/webapps
local_root=/usr/local/apache-tomcat-8.0.51/webapps
#激活chroot功能
chroot_list_enable=YES
#设置锁定用户在根目录中的列表文件，此文件存放要锁定的用户名
chroot_list_file=/etc/vsftpd/chroot_list
#允许锁定的用户有写的权限。
allow_writeable_chroot=YES 		

#建立锁定用户文件
[root@node8 vsftpd]# touch /etc/vsftpd/chroot_list
[root@node8 vsftpd]# vim /etc/vsftpd/chroot_list
#把tom1和tom2添加进锁定文件里
[root@node8 ~]# cat /etc/vsftpd/chroot_list
tom1
tom2

[root@node8 vsftpd]# ll -h /etc/vsftpd/chroot_list
-rw-r--r-- 1 root root 10 Dec 21 11:38 /etc/vsftpd/chroot_list

5.修改锁定目录的权限，使其他用户可以进行写操作

[root@node8 vsftpd]# ll -d /usr/local/apache-tomcat-8.0.51/webapps/
drwxr-xr-x 8 root root 110 Dec 21 11:19 /usr/local/apache-tomcat-8.0.51/webapps/

[root@node8 vsftpd]# chmod -R o+w /usr/local/apache-tomcat-8.0.51/webapps

[root@node8 vsftpd]# ll -d /usr/local/apache-tomcat-8.0.51/webapps/
drwxr-xrwx 8 root root 110 Dec 21 11:19 /usr/local/apache-tomcat-8.0.51/webapps/

6.重启vsftp使配置文件生效

[root@node8 vsftpd]# systemctl restart vsftpd

[root@node8 vsftpd]# systemctl status vsftpd
● vsftpd.service - Vsftpd ftp daemon
   Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; disabled; vendor preset: disabled)
   Active: active (running) since Mon 2020-12-21 11:42:43 CST; 13s ago
  Process: 7441 ExecStart=/usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf (code=exited, status=0/SUCCESS)
 Main PID: 7442 (vsftpd)
   CGroup: /system.slice/vsftpd.service
           └─7442 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

Dec 21 11:42:43 node8 systemd[1]: Starting Vsftpd ftp daemon...
Dec 21 11:42:43 node8 systemd[1]: Started Vsftpd ftp daemon.

7.测试：使用FTP客户端和FileZilla连接FTP服务器，测试功能是否正常

首先把node5作为FTP客户端，使用lftp连接FTP服务器进行测试

#首先测试匿名登录，发现匿名登录无法查看相关内容
[root@node5 ~]# lftp 192.168.110.186
lftp 192.168.110.186:~>
lftp 192.168.110.186:~> ls
`ls' at 0 [Sending commands...]
`ls' at 0 [Delaying before reconnect: 28]
Interrupt
lftp 192.168.110.186:~> quit

#使用tom1账号登录，发现功能正常
[root@node5 ~]# lftp 192.168.110.186 -u tom1,123456
lftp tom1@192.168.110.186:~> pwd
ftp://tom1:123456@192.168.110.186
lftp tom1@192.168.110.186:/> ls
drwxr-xrwx    3 0        0             326 Dec 21 03:19 ROOT
drwxr-xrwx   14 0        0            4096 Dec 21 03:19 docs
drwxr-xrwx    6 0        0              83 Dec 21 03:19 examples
drwxr-xrwx    5 0        0              87 Dec 21 03:19 host-manager
-rw-r--rw-    1 0        0             624 Dec 21 03:19 index.jsp
drwxr-xrwx    5 0        0             103 Dec 21 03:19 manager
drwxr-xrwx    2 0        0               6 Dec 21 03:19 test
lftp tom1@192.168.110.186:/> mkdir 1221
mkdir ok, `1221' created
lftp tom1@192.168.110.186:/> ls
drwxr-xr-x    2 1114     1114            6 Dec 21 03:48 1221
drwxr-xrwx    3 0        0             326 Dec 21 03:19 ROOT
drwxr-xrwx   14 0        0            4096 Dec 21 03:19 docs
drwxr-xrwx    6 0        0              83 Dec 21 03:19 examples
drwxr-xrwx    5 0        0              87 Dec 21 03:19 host-manager
-rw-r--rw-    1 0        0             624 Dec 21 03:19 index.jsp
drwxr-xrwx    5 0        0             103 Dec 21 03:19 manager
drwxr-xrwx    2 0        0               6 Dec 21 03:19 test
lftp tom1@192.168.110.186:/> quit

#使用tom2账号登录，发现功能正常
[root@node5 ~]# lftp 192.168.110.186 -u tom2,123456
lftp tom2@192.168.110.186:~> pwd
ftp://tom2:123456@192.168.110.186
lftp tom2@192.168.110.186:/> ls
drwxr-xr-x    2 1114     1114            6 Dec 21 03:48 1221
drwxr-xrwx    3 0        0             326 Dec 21 03:19 ROOT
drwxr-xrwx   14 0        0            4096 Dec 21 03:19 docs
drwxr-xrwx    6 0        0              83 Dec 21 03:19 examples
drwxr-xrwx    5 0        0              87 Dec 21 03:19 host-manager
-rw-r--rw-    1 0        0             624 Dec 21 03:19 index.jsp
drwxr-xrwx    5 0        0             103 Dec 21 03:19 manager
drwxr-xrwx    2 0        0               6 Dec 21 03:19 test
lftp tom2@192.168.110.186:/> quit

接着使用FileZilla连接FTP服务器进行测试，连接方式如下图：输入账号密码，发现功能也正常

但是此时数据传输是明文传输，所以还需要配置SSL，使其支持加密传输。

8.配置vsftp使用SSL证书加密传输数据，FTP与HTTP一样缺省状态都是基于明文传输，希望FTP服务器端与客户端传输保证安全，可以为FTP配置SSL。在项目中，如果是内网FTP传输，可以不用证书加密传输，如果FTP服务器在公网，为了数据的安全性，就一定要配置证书加密传输，保证安全性。

使用OpenSSL生成自签证书

#查看openssl有没有安装
[root@node8 vsftpd]# rpm -qa | grep openssl
openssl-1.0.2k-8.el7.x86_64
openssl-libs-1.0.2k-8.el7.x86_64
xmlsec1-openssl-1.2.20-5.el7.x86_64
openssl-devel-1.0.2k-8.el7.x86_64

#使用OpenSSL生成自签证书
#OpenSSL参数注释:
#req 			#是 X.509 Certificate Signing Request （CSR，证书签名请求）管理的一个命令。
#x509 			#X.509 证书数据管理。
#days 			#定义证书的有效日期。
#newkey 		#指定证书密钥处理器。
#keyout 		#设置密钥存储文件。
#out 			#设置证书存储文件，注意证书和密钥都保存在一个相同的文件
[root@node8 vsftpd]# openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem -days 3560
Generating a 2048 bit RSA private key
.........................................+++
................................+++
writing new private key to 'vsftpd.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:zg
State or Province Name (full name) []:gd
Locality Name (eg, city) [Default City]:gz
Organization Name (eg, company) [Default Company Ltd]:shxf
Organizational Unit Name (eg, section) []:fz
Common Name (eg, your name or your server's hostname) []:zheli
Email Address []:zheli@163.com

[root@node8 vsftpd]# ls vsftpd.pem
vsftpd.pem

9.创建证书存放目录，并赋权

[root@node8 vsftpd]# mkdir .sslkey

[root@node8 vsftpd]# mv vsftpd.pem .sslkey/

[root@node8 vsftpd]# chmod 400 .sslkey/vsftpd.pem

10.修改配置文件，使其支持SSL加密传输

#修改配置文件，主要修改内容如下，注意：这些配置项不要添加到vsftpd.conf文件的末尾，添加在中间部位即可,否则启动报错
[root@node8 vsftpd]# vim vsftpd.conf
#启用SSL
ssl_enable=YES
allow_anon_ssl=NO
#强制匿名用户和本地用户使用加密登陆和数据传输
force_local_data_ssl=YES
force_local_logins_ssl=YES
force_anon_logins_ssl=YES
force_anon_data_ssl=YES
#指定vsftp支持TLS v1
ssl_tlsv1=YES
#指定vsftpd支持SSL v2
ssl_sslv2=YES
#指定vsftpd支持SSL v3
ssl_sslv3=YES
#不重用SSL会话，安全配置项
require_ssl_reuse=NO
#允许用于加密 SSL 连接的 SSL 算法。这可以极大地限制那些尝试发现使用存在缺陷的特定算法的攻击者
ssl_ciphers=HIGH
#定义 SSL 证书和密钥文件的位置
rsa_cert_file=/etc/vsftpd/.sslkey/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/.sslkey/vsftpd.pem

#重启vsftp,使配置文件生效
[root@node8 vsftpd]# systemctl restart vsftpd

[root@node8 vsftpd]# systemctl status vsftpd
● vsftpd.service - Vsftpd ftp daemon
   Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; disabled; vendor preset: disabled)
   Active: active (running) since Mon 2020-12-21 14:33:02 CST; 7s ago
  Process: 7579 ExecStart=/usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf (code=exited, status=0/SUCCESS)
 Main PID: 7580 (vsftpd)
   CGroup: /system.slice/vsftpd.service
           └─7580 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

Dec 21 14:33:02 node8 systemd[1]: Starting Vsftpd ftp daemon...
Dec 21 14:33:02 node8 systemd[1]: Started Vsftpd ftp daemon.

11.测试是否支持加密传输

使用FileZilla连接FTP服务器，连接方法如下：

点击信任证书

连接成功之后，发现已经可以加密传输数据了

最后使用客户端工具lftp连接测试

#在node5上连接FTP服务器，但是提示不信任的证书
[root@node5 ~]# lftp 192.168.110.186 -u tom2,123456
lftp tom2@192.168.110.186:~> pwd
ftp://tom2:123456@192.168.110.186
lftp tom2@192.168.110.186:~> ls
ls: Fatal error: Certificate verification: Not trusted
lftp tom2@192.168.110.186:~> quit

#修改/etc/lftp.conf配置文件，在末尾加上一行“set ssl:verify-certificate no”，或者直接在lftp命令提示符下输入：set ssl:verify-certificate no 回车
[root@node5 ~]# vim /etc/lftp.conf
set ssl:verify-certificate no

#此时又可以登录FTP服务器了
[root@node5 ~]# lftp 192.168.110.186 -u tom2,123456
lftp tom2@192.168.110.186:~> ls
drwxr-xr-x    2 1114     1114            6 Dec 21 03:48 1221
drwxr-xrwx    3 0        0             326 Dec 21 03:19 ROOT
drwxr-xrwx   14 0        0            4096 Dec 21 03:19 docs
drwxr-xrwx    6 0        0              83 Dec 21 03:19 examples
drwxr-xrwx    5 0        0              87 Dec 21 03:19 host-manager
-rw-r--rw-    1 0        0             624 Dec 21 03:19 index.jsp
drwxr-xrwx    5 0        0             103 Dec 21 03:19 manager
drwxr-xrwx    2 0        0               6 Dec 21 03:19 test
lftp tom2@192.168.110.186:/> quit

自此，专有FTP服务器搭建完毕。