VSFTPD 和隐式 SSL

Question 1

显然，您需要implicit_ssl=YES在配置文件中进行设置才能到达任何地方。

但是，当您这样做时，您当然无法启动服务器。因此，要做的第一件事是查看服务器的日志，位于 /var/log/vsftpd.log 中（或者，消息可能发送到 /var/log/user.log 或 /var/log/messages，但这种情况不太可能）。

如果不看这些，我不可能告诉你问题到底是什么，但我大胆猜测，很有可能是找不到服务器 SSL 证书。其他可能的问题包括权限问题、SELinux 故障（如果您启用了该功能）或 vsftpd 不喜欢您为其提供的配置选项集 - 它可以非常挑剔，以防止您意外将其配置为不安全状态。或者还有其他可能性 - 这就是您需要日志的原因。

Answer

显然，您需要implicit_ssl=YES在配置文件中进行设置才能到达任何地方。

但是，当您这样做时，您当然无法启动服务器。因此，要做的第一件事是查看服务器的日志，位于 /var/log/vsftpd.log 中（或者，消息可能发送到 /var/log/user.log 或 /var/log/messages，但这种情况不太可能）。

如果不看这些，我不可能告诉你问题到底是什么，但我大胆猜测，很有可能是找不到服务器 SSL 证书。其他可能的问题包括权限问题、SELinux 故障（如果您启用了该功能）或 vsftpd 不喜欢您为其提供的配置选项集 - 它可以非常挑剔，以防止您意外将其配置为不安全状态。或者还有其他可能性 - 这就是您需要日志的原因。

Question 2

隐式 - 假设服务器期望使用 SSL 加密所有内容。这意味着当客户端首次连接到服务器时，它将立即在命令连接上协商 SSL 连接。通常，隐式连接也位于不同的端口上，例如端口990。因此，要以隐式模式运行 vsftpd，您需要设置选项

implicit_ssl=YES
listen_port=990

或者

implicit_ssl=YES
listen_port=21

并配置您的FTP 客户端使用21连接端口。（例如，FileZilla 客户端在连接到隐式服务器类型时默认使用 990 端口）。

Answer

隐式 - 假设服务器期望使用 SSL 加密所有内容。这意味着当客户端首次连接到服务器时，它将立即在命令连接上协商 SSL 连接。通常，隐式连接也位于不同的端口上，例如端口990。因此，要以隐式模式运行 vsftpd，您需要设置选项

implicit_ssl=YES
listen_port=990

或者

implicit_ssl=YES
listen_port=21

并配置您的FTP 客户端使用21连接端口。（例如，FileZilla 客户端在连接到隐式服务器类型时默认使用 990 端口）。

Question 3

我遇到了类似的问题，您的配置应该如下：

listen=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
connect_from_port_20=YES
pam_service_name=vsftpd
ssl_enable=YES
#The following line enables implicit mode
implicit_ssl=YES
allow_anon_ssl=NO
#This will force secure data connections, not required, but recommended
force_local_data_ssl=YES
#This will force secure logins, not strictly required, but REALLY recommended
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
rsa_cert_file=/etc/ssl/certs/vsftpd.pem
#The next line is the magic which I suspect will make this work for you.
#Some distros require explicit private key designation. You may need to regenerate your
#certificate / key pair. A lot of Debian based distros seem to need this step, and will not
#start the server without it.
rsa_private_key_file=<path to private key>.key

这对我来说很管用。另外，由于您使用的是 tls，而不是 ssl，因此您的服务器实际上应该在通常的 ftp 端口上提供服务。现在大多数客户另一方面，默认情况下会查找端口 990 以进行 ftps 连接，但你对此无能为力，除非你真的想在端口 990 上提供服务。这不是什么大问题，只是很麻烦。你可能还需要考虑虚拟用户、chroot jailing 和被动模式，分别用于安全性、更高的安全性和更简单的客户端连接。谢谢，-Matthias

Answer

我遇到了类似的问题，您的配置应该如下：

listen=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
connect_from_port_20=YES
pam_service_name=vsftpd
ssl_enable=YES
#The following line enables implicit mode
implicit_ssl=YES
allow_anon_ssl=NO
#This will force secure data connections, not required, but recommended
force_local_data_ssl=YES
#This will force secure logins, not strictly required, but REALLY recommended
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
rsa_cert_file=/etc/ssl/certs/vsftpd.pem
#The next line is the magic which I suspect will make this work for you.
#Some distros require explicit private key designation. You may need to regenerate your
#certificate / key pair. A lot of Debian based distros seem to need this step, and will not
#start the server without it.
rsa_private_key_file=<path to private key>.key

这对我来说很管用。另外，由于您使用的是 tls，而不是 ssl，因此您的服务器实际上应该在通常的 ftp 端口上提供服务。现在大多数客户另一方面，默认情况下会查找端口 990 以进行 ftps 连接，但你对此无能为力，除非你真的想在端口 990 上提供服务。这不是什么大问题，只是很麻烦。你可能还需要考虑虚拟用户、chroot jailing 和被动模式，分别用于安全性、更高的安全性和更简单的客户端连接。谢谢，-Matthias

Question 4

确保指定“implicit_ssl”（全部小写），Implicit_SSL 将不起作用，正如您所提到的，服务器甚至不会启动

Answer

确保指定“implicit_ssl”（全部小写），Implicit_SSL 将不起作用，正如您所提到的，服务器甚至不会启动

VSFTPD 和隐式 SSL

答案1

答案2

答案3

答案4

相关内容