在 Ubuntu 16.04 上通过 SSL/TLS 搭建安全的 FTP 服务器

FTP 是 File Transfer Protocol (文件传输协议)的简称,用于在 Internet 上控制文件的双向传输。作为很古老的一种文件传输协议,简单的服务器搭建和丰富的客户端支持是它的优势,但安全性却是它很大的一个软肋。(在建立连接时使用明文传输用户名和密码等重要信息)

一、安全性测试

1. 安装 ftp 服务:

ubuntu 16.04 可以使用包管理器直接安装 vsftpd 以建立 ftp 服务器。
$ sudo apt-get install vsftpd

vsftpd 的配置文件为 /etc/vsftpd.conf,默认即开启了本地用户local_enable=YES)的登录和下载权限,可以直接使用。如需使用上传功能,可以将配置文件中 #write_enable=YES 前面的注释去掉。
因为主要是测试安全性,其他配置选项暂不做改动。

2. 使用 wireshark 抓包

Wireshark 是一个功能强大的网络抓包和分析工具。这里使用它来对 FTP 客户端与服务器之间的数据交换进行监控。
因为 Ubuntu 服务器安装在 virtualbox 虚拟机中,联网使用的是 Host-only 模式,所以抓包时监控的是 vboxnet0 虚拟网卡。

效果如下:ftp 明文传输密码
可以看到,FTP 的用户名和密码都是使用明文传输的,可以直接被看到。

3. 更安全的 SFTP 服务

SFTP 是 Secure File Transfer Protocol (安全文件传送协议)的缩写,包含在 ssh 服务中。Ubuntu 16.04 系统中,配置好 ssh 服务后,sftp 服务即默认开启。
需要注意的是,sftp 使用了加密、解密技术,所以传输效率比普通的FTP要低得多

可以使用 sudo apt-get openssh-server 命令安装 ssh 服务,如 sftp 服务未默认开启,可以编辑 sshd 配置文件:/etc/ssh/sshd_config,添加上 Subsystem sftp /usr/lib/openssh/sftp-server

使用 sftp 服务时的抓包截图:sftp 抓包截图
可以看到,截获的包内容都变成了 Encrypted packet

二、搭建安全的 FTPS 服务

这里要详细说明的是另外一种解决方案,使用 SSL/TLS 对 FTP 的数据传输进行加密。关于 SFTP 与 FTPS 的之间的对比,建议参考此文章:FTPS (FTP over SSL) vs SFTP (SSH File Transfer Protocol)

1. 创建证书

FTPS 是使用安全套接层(SSL)证书的 FTP 技术,也就是使用用户 ID、密码和 SSL 证书进行身份验证。
$ sudo openssl req -x509 -nodes -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem -days 365 -newkey rsa:2048
上面的命令用于生成证书key 并保存在 vsftpd.pem 文件中。
运行后会提示你输入相关信息(可以随便填写,不要留空):

1
2
3
4
5
6
7
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:hangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:section
Common Name (e.g. server FQDN or YOUR name) []:starky
Email Address []:starky@email.com

生成证书

2. 修改配置文件

如果你有开启 ufw 防火墙(默认是未开启的),需要先在防火墙配置中开放指定端口用于通讯和数据传输。

1
2
$ sudo ufw allow 990/tcp
$ sudo ufw allow 4000:5000/tcp

我这里没有开启 ufw ,所以不需要以上操作。直接修改 vsftpd 的配置文件($ sudo vim /etc/vsftpd.conf)。将文件中的对应配置做如下修改(没有就添加):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
# 开启 ssl 并指定使用的协议
ssl_enable=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
# 指定证书和 key 文件
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
# 安全选项
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
require_ssl_reuse=NO
ssl_ciphers=HIGH
# 指定主动模式时使用的端口范围
pasv_min_port=40000
pasv_max_port=50000

修改完成后重启 vsftpd 服务:$ sudo systemctl restart vsftpd

三、连接验证

客户端使用 filezilla 连接服务器,新建站点时使用如下配置:

1
2
3
4
5
Host:  192.168.56.102
Protocol: FTP – File Transfer Protocol
Encryption: Require explicit FTP over TLS
Logon Type: Ask for password
User: username

filezilla
连接后会跳出输入密码界面和证书信息,确定之后即可成功连接
连接成功界面
而此时 wireshark 的抓包截图如下:
ftps 抓包
捕捉到的请求和响应信息都是已加密过的密文。

参考文章

Setting Up a Secure FTP Server using SSL/TLS on Ubuntu
关于 vsftpd 配置文件的详细解释可参考Vsftpd - Ubuntu中文