我将托管一个公共 FTP 更新服务器(CentOS 7 上的 vsftpd)。设备(dvr 录像机)使用 anonymous 用户名和无密码连接到服务器,以检查它们是否具有最新固件。它们只能下载而不能写入。
新固件使用 SSH 上传到服务器。因此除了匿名登录外,没有其他 FTP 登录。
使用 SSL/TLS 还好吗?不使用 SSL/TLS 是否存在安全风险?因为这样维护起来会容易得多。
答案1
这不仅是一件好事,而且是必需的。如果您使用 FTP 将软件交付给不知情的客户的设备,那就更是如此了。
如果不使用 TLS/SSL,设备和服务器之间的任何位置的任何人都可以偷运假固件,将设备变成他/她想要的任何东西。
阅读中间人攻击。
老实说,如果您不得不问这样的问题,那么您就不是设置如此关键的网络组件的合适人选。