CentOS中FileZilla的SSL加密配置

CentOS 中 FileZilla 的 SSL 加密配置

一 场景与准备

• 本方案面向在 CentOS 上搭建 vsftpd 并通过 FileZilla 使用 FTP over TLS（显式，端口 21） 或 FTPS（隐式，端口 990） 的场景。若可使用更安全的 SFTP/SSH，建议优先采用。准备要点：
  • 服务器与客户端均可用 FileZilla（Linux 桌面可安装；服务器侧通常仅运行 FTP 服务）。
  • 防火墙开放相应端口（见下文）。
  • 准备用于 TLS 的证书（自签或受信任 CA 签发）。

二 服务器端 vsftpd 启用 SSL/TLS

• 安装与证书
  • 安装 vsftpd 与 OpenSSL（如未安装）：sudo yum install -y vsftpd openssl
  • 创建证书与私钥（合并为一个 PEM，便于配置）：

    sudo mkdir -p /etc/ssl/private
    sudo openssl req -x509 -nodes -days 365 \
      -newkey rsa:2048 \
      -keyout /etc/ssl/private/vsftpd.pem \
      -out  /etc/ssl/private/vsftpd.pem
    sudo chmod 600 /etc/ssl/private/vsftpd.pem
    

• 核心配置（/etc/vsftpd/vsftpd.conf）
  • 启用加密与协议限制

    ssl_enable=YES
    ssl_tlsv1_2=YES
    ssl_sslv2=NO
    ssl_sslv3=NO
    rsa_cert_file=/etc/ssl/private/vsftpd.pem
    rsa_private_key_file=/etc/ssl/private/vsftpd.pem
    allow_anon_ssl=NO
    force_local_data_ssl=YES
    force_local_logins_ssl=YES
    require_ssl_reuse=NO
    ssl_ciphers=HIGH
    

  • 被动模式端口范围（示例：40000–50000）

    pasv_enable=YES
    pasv_min_port=40000
    pasv_max_port=50000
    

  • 可选：仅允许本地用户并禁锢主目录

    local_enable=YES
    chroot_local_user=YES
    write_enable=YES
    

• 防火墙与 SELinux
  • 放行端口（示例为显式 FTPS/TLS 与被动端口范围；若使用隐式 FTPS，还需放行 990/tcp）

    sudo firewall-cmd --permanent --add-port=21/tcp
    sudo firewall-cmd --permanent --add-port=990/tcp    # 仅隐式 FTPS 需要
    sudo firewall-cmd --permanent --add-port=40000-50000/tcp
    sudo firewall-cmd --reload
    

  • SELinux（若启用）：允许 FTP 被动端口

    sudo setsebool -P ftpd_use_passive_mode on
    sudo setsebool -P allow_ftpd_full_access on
    

• 重启服务

  sudo systemctl restart vsftpd
  sudo systemctl enable vsftpd
  

以上配置要点（证书生成、协议禁用、强制加密、被动端口与防火墙放行）已在多篇实践文档中验证可行。

三 FileZilla 客户端连接设置

• 显式 FTP over TLS（推荐，端口 21）
  • 打开站点管理器 → 新建站点
  • 协议：FTP - 文件传输协议
  • 加密：要求显式 FTP over TLS
  • 登录类型：正常，填写用户名与密码
  • 端口：21
  • 连接时若弹出证书确认，核对服务器证书信息后选择“始终信任此证书以便后续连接”。
• 隐式 FTPS（端口 990）
  • 协议：FTP - 文件传输协议
  • 加密：要求隐式 FTP over TLS
  • 端口：990
• 连接失败排查要点
  • 服务器是否仅允许 TLS 1.2（或更高）；客户端是否匹配。
  • 被动模式端口范围是否在防火墙放行。
  • 证书是否为服务器证书链的一部分（自签证书需手动信任）。

四 验证与常见问题

• 服务器侧验证
  • 使用支持 TLS 的客户端（如 FileZilla）可正常登录且目录可列取，即表明加密通道建立成功。
  • 使用传统 ftp 客户端连接应被拒绝（如提示“Non-anonymous sessions must use encryption”），说明强制加密生效。
• 常见故障
  • 数据通道无法建立：检查 pasv_min_port/pasv_max_port 与防火墙是否一致。
  • 握手失败：确认未启用 SSLv2/SSLv3，仅启用 TLS 1.2+。
  • 证书不被信任：自签证书需在客户端首次连接时确认并选择“始终信任”。

五 安全加固与替代方案

• 加固建议
  • 禁用明文协议：仅启用 TLS 1.2+，禁用 SSLv2/SSLv3。
  • 限制加密套件：使用 HIGH 级别或更严格的套件策略。
  • 限制被动端口范围并严格放行防火墙。
  • 禁用匿名访问，必要时启用 chroot 与最小权限。
  • 定期轮换证书，并考虑使用受信任 CA 签发证书以减少客户端信任提示。
• 替代方案
  • 若业务允许，优先采用 SFTP/SSH（基于 SSH 的文件传输，默认加密、配置更简洁、穿透性更好）。