Linux下ftp+SSL实现ftps
ftps与sftp:
FTPS是借助ssl协议加密,ssl是为http/smtp等加密设计的;;SFTP是借助ssh加密,ssh是为telnet/ftp等加密、建立传输通道而设计的。ssh建立传输通道就是为了加密和传输,而且这个通道是可以用来远程登录。创建加密通道对文件进行加密。
从原理上简单的讲:FTPS是ftp-over-ssl的意思,即ftp借助ssl协议加密传输,不但要用ftp服务器还要用ssl协议加密。sftp协议是ssh中的一条独立的协议,利用sftp服务器就可以传输数据。
下面笔者以ssl来实现ftps的安全传输:
用ssl的是ftps.(传输层的加密)
SSL验证: 1、只密码验证 2、SSL证书验证,需要建立CA服务器
实验思路:首先安装wireshark抓包工具,在没有使用CA服务器的情况下抓包,查看抓包情况。然后安装CA服务器为ftp服务器颁发证书。再次抓包,查看抓包。注:此实验中CA服务器与ftp服务器处于同一个主机上
新建用户:
[[email protected] ~]# useradd user1 #新建用户user1,用于抓包测试。
[[email protected] ~]# passwd user1
安装wireshare:
[[email protected] ~]# mkdir /mnt/cdrom
[[email protected] ~]# mount /dev/cdrom /mnt/cdrom/
[[email protected] ~]# cd /mnt/cdrom/Server/
[[email protected] Server]# vim /etc/yum.repos.d/rhel-debuginfo.repo #编辑本地yum
[[email protected] Server]# yum install wireshark –y #安装wireshark抓包工具
安装vsftp:
[[email protected] Server]# rpm -ivh vsftpd-2.0.5-16.el5.i386.rpm
[[email protected] Server]# service vsftpd start
使用抓包工具,查看在没有使用ssl时的抓包情况:
[[email protected] Server]# tshark -ni eth0 -R "tcp.dstport eq 21" #由于客户端必须使用21端口与服务器建立连接,所以此处对于21号端口进行抓包
用户名和密码已经泄露:
搭建CA服务器:
[[email protected] Server]# cd /etc/pki/tls/
[[email protected] tls]# vim openssl.cnf
[[email protected] tls]# cd /etc/pki/CA/ #切换到与CA服务器有关的目录
[[email protected] CA]# mkdir certs #建立与证书有关的目录
[[email protected] CA]# mkdir newcerts #与新证书有关的目录
[[email protected] CA]# mkdir crl #证书吊销列表
[[email protected] CA]# touch index.txt
[[email protected] CA]# touch serial
[[email protected] CA]# echo "01"> serial #给serial一个初始值
[[email protected] CA]# openssl genrsa 1024 > private/cakey.pem #使用非对称加密算法rsa,采用1024为算法,得到一个密钥存放在private/cakey.pem中
[[email protected] CA]# chmod 600 private/cakey.pem #私钥不允许别人查看,所以将cakey.pem文件的权限改为600,只有所属用户可以读写
[[email protected] CA]# openssl req -new -key private/cakey.pem -x509 -out cacert.pem -days 3650 #使用CA服务器自己的私钥cakey.pem产生一个证书cacert.pem
[[email protected] CA]# mkdir -pv /etc/vsftpd/certs #创建一个目录,存放于vsftp有关的证书,证书请求,密钥
[[email protected] CA]# cd /etc/vsftpd/certs/
[[email protected] certs]# openssl genrsa 1024 >vsftpd.key #非对称加密算法rsa,使用1024位,算出一个密钥vsftp.key
[[email protected] certs]# openssl req -new -key vsftpd.key -out vsftpd.csr #利用私钥vsftp.key产生一个证书请求文件vsftp.csr
[[email protected] certs]# openssl ca -in vsftpd.csr -out vsftpd.cert #利用证书请求文件的到一个证书vsftp.cert
[[email protected] certs]# chmod 600 * #将该目录下的文件权限全部改为600,即所属用户可读写
将申请得到的CA证书和vsftp关联起来:
[[email protected] certs]# chmod 600 *
[[email protected] certs]# vim /etc/vsftpd/vsftpd.conf
[[email protected] certs]# service vsftpd restart
使用flashfXP作为测试:
[[email protected] certs]# tshark -ni eth0 -R "tcp.dstport eq 21" #抓包,查看能否获得用户名和密码
查看抓包结果:无法获得用户名和密码