centos vsftp支持SSL加密吗

支持情况与要点

• vsftpd 在 CentOS 上支持通过 SSL/TLS（FTPS） 对控制通道与数据通道进行加密。常见做法是启用 ssl_enable 并配置证书，必要时限制协议为 TLS 1.2，并配置被动模式端口范围以便防火墙放行。

快速启用步骤

• 安装与证书
  • 安装 vsftpd：sudo yum install -y vsftpd
  • 生成自签名证书（示例）：sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/pki/tls/private/vsftpd.key -out /etc/pki/tls/certs/vsftpd.pem
• 配置 vsftpd（/etc/vsftpd/vsftpd.conf 关键项）
  • 启用加密与强制使用：ssl_enable=YES，force_local_logins_ssl=YES，force_local_data_ssl=YES
  • 协议与套件：ssl_tlsv1_2=YES，ssl_sslv2=NO，ssl_sslv3=NO，ssl_ciphers=HIGH
  • 证书路径：rsa_cert_file=/etc/pki/tls/certs/vsftpd.pem，rsa_private_key_file=/etc/pki/tls/private/vsftpd.key
  • 被动端口范围（示例）：pasv_min_port=40000，pasv_max_port=50000
• 防火墙放行
  • 放行命令：firewall-cmd --permanent --add-port=21/tcp；firewall-cmd --permanent --add-port=990/tcp；firewall-cmd --permanent --add-port=40000-50000/tcp；firewall-cmd --reload
• 重启服务：systemctl restart vsftpd
• 客户端连接
  • 使用支持 TLS 的客户端（如 FileZilla）选择 FTP over SSL/TLS（显式，端口 21）；命令行可用：lftp -e ‘open ftps://your_server_ip; user your_username your_password; ls; quit’。

连接与验证

• 命令行测试（显式 FTPS）：lftp -e ‘open ftps://your_server_ip; user your_username your_password; ls; quit’
• 验证 TLS 握手：openssl s_client -connect your_server_ip:21 -starttls ftp
• 若使用隐式 FTPS，通常连接 990/tcp；显式 FTPS 使用 21/tcp 并在握手后升级为 TLS。部分客户端默认禁用了不安全的协议，需手动选择“FTP over SSL/TLS”。

常见问题与排查

• 协议与套件
  • 建议仅启用 TLS 1.2（或更高），禁用 SSLv2/SSLv3 与过时套件，避免握手失败或安全风险。
• 被动模式端口
  • 配置并放行 pasv_min_port/pasv_max_port（如 40000–50000），否则数据通道可能被防火墙拦截，出现“读取目录列表失败”等现象。
• 证书与权限
  • 证书与私钥路径需与配置一致，权限建议为 600/644，属主为 root，放置在 /etc/pki/tls/ 等受保护目录。
• SELinux
  • 如启用 SELinux，必要时执行：setsebool -P ftp_home_dir on；setsebool -P allow_ftpd_full_access on（视实际策略与需求而定）。
• 模块支持检查
  • 确认 vsftpd 编译时包含 SSL 支持：ldd $(which vsftpd) | grep ssl；无输出则可能不支持，需要更换为支持 SSL 的版本或重新编译。

补充说明

• vsftpd 的 SSL/TLS 加密属于 FTPS（在 FTP 协议上封装 TLS），不要与 SFTP（基于 SSH 的文件传输）混淆；两者协议与端口不同、配置方式也不同。