FTP 是 File Transfer Protocol (文件传输协议)的简称,用于在 Internet 上控制文件的双向传输。作为很古老的一种文件传输协议,简单的服务器搭建和丰富的客户端支持是它的优势,但安全性却是它很大的一个软肋。(在建立连接时使用明文传输用户名和密码等重要信息)
一、安全性测试
1. 安装 ftp 服务:
ubuntu 16.04 可以使用包管理器直接安装 vsftpd 以建立 ftp 服务器。$ sudo apt-get install vsftpd
vsftpd 的配置文件为 /etc/vsftpd.conf
,默认即开启了本地用户(local_enable=YES
)的登录和下载权限,可以直接使用。如需使用上传功能,可以将配置文件中 #write_enable=YES
前面的注释去掉。
因为主要是测试安全性,其他配置选项暂不做改动。
2. 使用 wireshark 抓包
Wireshark 是一个功能强大的网络抓包和分析工具。这里使用它来对 FTP 客户端与服务器之间的数据交换进行监控。
因为 Ubuntu 服务器安装在 virtualbox 虚拟机中,联网使用的是 Host-only 模式,所以抓包时监控的是 vboxnet0 虚拟网卡。
效果如下:
可以看到,FTP 的用户名和密码都是使用明文传输的,可以直接被看到。
3. 更安全的 SFTP 服务
SFTP 是 Secure File Transfer Protocol (安全文件传送协议)的缩写,包含在 ssh 服务中。Ubuntu 16.04 系统中,配置好 ssh 服务后,sftp 服务即默认开启。
需要注意的是,sftp 使用了加密、解密技术,所以传输效率比普通的FTP要低得多。
可以使用
sudo apt-get openssh-server
命令安装 ssh 服务,如 sftp 服务未默认开启,可以编辑 sshd 配置文件:/etc/ssh/sshd_config
,添加上Subsystem sftp /usr/lib/openssh/sftp-server
。
使用 sftp 服务时的抓包截图:
可以看到,截获的包内容都变成了 Encrypted packet
二、搭建安全的 FTPS 服务
这里要详细说明的是另外一种解决方案,使用 SSL/TLS 对 FTP 的数据传输进行加密。关于 SFTP 与 FTPS 的之间的对比,建议参考此文章:FTPS (FTP over SSL) vs SFTP (SSH File Transfer Protocol)。
1. 创建证书
FTPS 是使用安全套接层(SSL)证书的 FTP 技术,也就是使用用户 ID、密码和 SSL 证书进行身份验证。$ sudo openssl req -x509 -nodes -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem -days 365 -newkey rsa:2048
上面的命令用于生成证书和 key 并保存在 vsftpd.pem 文件中。
运行后会提示你输入相关信息(可以随便填写,不要留空):1
2
3
4
5
6
7Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:hangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:section
Common Name (e.g. server FQDN or YOUR name) []:starky
Email Address []:starky@email.com
2. 修改配置文件
如果你有开启 ufw 防火墙(默认是未开启的),需要先在防火墙配置中开放指定端口用于通讯和数据传输。1
2$ sudo ufw allow 990/tcp
$ sudo ufw allow 4000:5000/tcp
我这里没有开启 ufw ,所以不需要以上操作。直接修改 vsftpd 的配置文件($ sudo vim /etc/vsftpd.conf
)。将文件中的对应配置做如下修改(没有就添加):1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17# 开启 ssl 并指定使用的协议
ssl_enable=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
# 指定证书和 key 文件
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
# 安全选项
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
require_ssl_reuse=NO
ssl_ciphers=HIGH
# 指定主动模式时使用的端口范围
pasv_min_port=40000
pasv_max_port=50000
修改完成后重启 vsftpd 服务:$ sudo systemctl restart vsftpd
三、连接验证
客户端使用 filezilla 连接服务器,新建站点时使用如下配置:1
2
3
4
5Host: 192.168.56.102
Protocol: FTP – File Transfer Protocol
Encryption: Require explicit FTP over TLS
Logon Type: Ask for password
User: username
点连接后会跳出输入密码界面和证书信息,确定之后即可成功连接
而此时 wireshark 的抓包截图如下:
捕捉到的请求和响应信息都是已加密过的密文。
参考文章
Setting Up a Secure FTP Server using SSL/TLS on Ubuntu
关于 vsftpd 配置文件的详细解释可参考:Vsftpd - Ubuntu中文