對ftp加密
第一步首先在A計算機上安裝sniffer嗅探工具,並啟動該程序。在sniffer軟體中通過上方的「matrix」(矩陣)按鈕啟動監測界面,打開監測界面後我們就可以開始監測網路中的數據包了。通過菜單欄的「capture(捕獲)→start(開始)」啟動。在檢測數據包窗口中我們點左下角的objects(對象)標簽,然後選擇station(狀態),這樣將把當前網路中所有通信都顯示在窗口中。
至此我們就通過sniffer工具將員工在FTP伺服器上的用戶名和密碼嗅探出來,該方法在員工和安裝了sniffer的計算機處在同一個子網的情況下有效。
『貳』 [翻譯]在 Ubuntu 中使用 SSL/TLS 加密 FTP 連接
在本教程中,我們將介紹如何在 Ubuntu 16.04 / 16.10 中使用 SSL / TLS 加密 FTP(本文中,我們將使用 VsFTP,一個號稱非常安全的 FTP 軟體)
在完成本指南中的所有步驟之後,我們將進一步去了解在FTP伺服器中啟用加密服務的基本原理,以確保能安全的傳輸數據。
必須在 Ubuntu中已經安裝並配置完FTP伺服器
請確保本文中的所有命令都將以root或sudo特權帳戶運行。
1.我們將首先在 /etc/ssl/ 下創建一個子目錄(如果這個目錄不存在),以存儲SSL / TLS證書和密鑰文件:
2.現在,我們通過運行下面的命令在單個文件中生成證書和密鑰。
上述命令將提示您回答以下問題,請輸入自己特定的值。
3.在進行任何 VsFTP 配置之前,對於啟用了UFW防火牆的用戶,必須打開埠990和40000-50000,以允許在VSFTPD配置文件中分別設置TLS連接和被動埠的埠范圍:
4.現在,打開VSFTPD配置文件並在其中定義SSL詳細信息:
然後,添加或找到選項 ssl_enable 並將其值設置為 YES 以激活 SSL 的使用,因為 TLS 比 SSL 更安全,因此通過啟用 ssl_tlsv1 選項,我們將限制 VSFTPD 使用 TLS:
5.接下來,使用 # 字元注釋掉下面的行,如下所示:
6.現在,我們還必須防止匿名用戶使用SSL,然後強制所有非匿名登錄使用安全的SSL連接進行數據傳輸,並在登錄期間發送密碼:
7.此外,我們可以使用以下選項在FTP伺服器中添加更多的安全功能。使用option_ssl_reuse = YES選項,所有SSL數據連接都需要展示SSL會話重用;證明他們知道與控制頻道相同的主機密碼。所以我們應該禁用它。
另外,我們可以通過設置 ssl_ciphers 選項來設置SSL密碼等級。這將有助於阻擋試圖強制使用特定密碼的攻擊。
8.然後,我們來定義被動埠的埠范圍(最小和最大埠)。
9.我們可以使用debug_ssl選項啟用SSL調試,將 openSSL 連接記錄到VSFTPD日誌文件中:
最後保存並關閉文件。然後重啟 VSFTPD 服務:
10.執行上述所有配置後,通過從命令行使用FTP來測試VSFTPD是否正在使用SSL / TLS連接。
在下面的輸出,有一個錯誤消息,VSFTPD 只允許用戶(非匿名)從支持加密服務的安全客戶端登錄。
因為命令行不支持加密服務,從而導致了上述錯誤。因此,為了安全地連接到啟用加密服務的FTP伺服器,我們需要一個默認支持 SSL / TLS 連接的FTP客戶端,例如FileZilla。
FileZilla是功能強大,廣泛使用的跨平台FTP客戶端,支持通過SSL / TLS等方式連接 FTP。要在Linux客戶端計算機上安裝FileZilla,請使用以下命令。
12.安裝完成後,打開它並轉到File => Sites Manager或按 Ctrl + S 以打開下面的站點管理器界面。
13.現在,添加主機/站點名稱和IP地址,定義要使用的協議,加密和登錄類型,如下面的屏幕截圖(使用適用於您的實際情況的值):
14.然後點擊從上面的「Connect」,輸入密碼,然後驗證用於SSL / TLS連接的證書,然後單擊「確定」再次連接到FTP伺服器:
15.現在,您應該已經通過TLS連接成功登錄到了FTP伺服器,可以從下面的界面查看連接狀態以獲取更多信息。
16.最後,我們將文件從本地機器傳輸到FTP伺服器的文件夾中,看看FileZilla界面的下端,查看有關文件傳輸的報告。
全部教程如上!永遠記住,安裝FTP伺服器而不啟用加密服務具有一定的安全隱患。正如我們在本教程中所述,您可以在 Ubuntu 16.04 / 16.10中配置FTP伺服器以使用SSL / TLS來實現安全連接。
『叄』 如何把上傳到FTP的文件加密
使用Winrar壓縮順便加上密碼就可以了。另外Word、Excel等文件也都可以添加密碼。
保存的時候,點擊上面的保存選項。還搞不明白再問。
『肆』 如何使FTP伺服器安全
一、操作系統的選擇
FTP伺服器首先是基於操作系統而運作的,因而操作系統本身的安全性就決定了FTP伺服器安全性的級別。雖然Windows 98/Me一樣可以架設FTP伺服器,但由於其本身的安全性就不強,易受攻擊,因而不要採用。Windows NT就像雞肋,不用也罷。採用Windows 2000及以上版本,並記住及時打上補丁。至於Unix、Linux,則不在討論之列。
二、使用防火牆
埠是計算機和外部網路相連的邏輯介面,也是計算機的第一道屏障,埠配置正確與否直接影響到主機的安全,一般來說,僅打開你需要使用的埠,將其他不需要使用的埠屏蔽掉會比較安全。限制埠的方法比較多,可以使用第三方的個人防火牆,如天網個人防火牆等,這里只介紹Windows自帶的防火牆設置方法。
1。利用TCP/IP篩選功能
在消運Windows 2000和Windows XP中,系統都帶有TCP/IP篩選功能,利用它可以簡單地進行埠設置。以Windows XP為例,打開「本地連接」的屬性,在「常規」選項中找到「Internet協議(TCP/IP)」,雙擊它打開該協議的屬性設置窗口。點擊右下方的「高級」卜橋廳按鈕,進入「高級TCP/IP設置」。在「選項」中選中「TCP/IP篩選」並雙擊進入其屬性設置。這里我們可以設置系統只允許開放的埠,假如架設的FTP伺服器埠為21,先選中「啟用TCP/IP篩選(所有適配器)」,再在TCP埠選項中選擇「只允許」,點「添加」,輸入埠號21,確定即可。這樣,系統就只允許打開21埠。要開放其他埠,繼續添加即可。這可以有效防止最常見的139埠入侵。缺點是功能過於簡單,只能設置允許開放的埠,不能自定義要關閉的埠。如果你有大量埠要開放,就得一個個地去手工添加,比較麻煩。
2。打開Internet連接防火牆
對於Windows XP系統,自型隱帶了「Internet連接防火牆」功能,與TCP/IP篩選功能相比,設置更方便,功能更強大。除了自帶防火牆埠開放規則外,還可以自行增刪。在控制面板中打開「網路連接」,右擊撥號連接,進入「高級」選項卡,選中「通過限制或阻止來自Internet的對此計算機的訪問來保護我的計算機和網路」,啟用它。系統默認狀態下是關閉了FTP埠的,因而還要設置防火牆,打開所使用的FTP埠。點擊右下角的「設置」按鈕進入「高級設置」,選中「FTP伺服器」,我它。由於FTP服務默認埠是21,因而除了IP地址一欄外,其餘均不可更改。在IP地址一欄中填入伺服器公網IP,確定後退出即可即時生效。如果架設的FTP伺服器埠為其他埠,比如22,則可以在「服務」選項卡下方點「添加」,輸入伺服器名稱和公網IP後,將外部埠號和內部埠號均填入22即可。
三、對IIS、Serv-U等伺服器軟體進行設置
除了依靠系統提供的安全措施外,就需要利用FTP伺服器端軟體本身的設置來提高整個伺服器的安全了。
1。IIS的安全性設置
1)及時安裝新補丁
對於IIS的安全性漏洞,可以說是「有口皆碑」了,平均每兩三個月就要出一兩個漏洞。所幸的是,微軟會根據新發現的漏洞提供相應的補丁,這就需要你不斷更新,安裝最新補丁。
2)將安裝目錄設置到非系統盤,關閉不需要的服務
一些惡意用戶可以通過IIS的溢出漏洞獲得對系統的訪問權。把IIS安放在系統分區上,會使系統文件與IIS同樣面臨非法訪問,容易使非法用戶侵入系統分區。另外,由於IIS是一個綜合性服務組件,每開設一個服務都將會降低整個服務的安全性,因而,對不需要的服務盡量不要安裝或啟動。
3)只允許匿名連接
FTP的安全漏洞在於其默認傳輸密碼的過程是明文傳送,很容易被人嗅探到。而IIS又是基於Windows用戶賬戶進行管理的,因而很容易泄漏系統賬戶名及密碼,如果該賬戶擁有一定管理許可權,則更會影響到整個系統的安全。設置為「只允許匿名連接」,可以免卻傳輸過程中泄密的危險。進入「默認FTP站點」,在屬性的「安全賬戶」選項卡中,將此選項選中。
4)謹慎設置主目錄及其許可權
IIS可以將FTP站點主目錄設為區域網中另一台計算機的共享目錄,但在區域網中,共享目錄很容易招致其他計算機感染的病毒攻擊,嚴重時甚至會造成整個區域網癱瘓,不到萬不得已,使用本地目錄並將主目錄設為NTFS格式的非系統分區中。這樣,在對目錄的許可權設置時,可以對每個目錄按不同組或用戶來設置相應的許可權。右擊要設置的目錄,進入「共享和安全→安全」中設置,如非必要,不要授予「寫入」許可權。
5)盡量不要使用默認埠號21
啟用日誌記錄,以備出現異常情況時查詢原因。
2。Serv-U的安全性設置
與IIS的FTP服務相比,Serv-U在安全性方面做得比較好。
1)對「本地伺服器」進行設置
首先,選中「攔截FTP_bounce攻擊和FXP」。什麼是FXP呢?通常,當使用FTP協議進行文件傳輸時,客戶端首先向FTP伺服器發出一個「PORT」命令,該命令中包含此用戶的IP地址和將被用來進行數據傳輸的埠號,伺服器收到後,利用命令所提供的用戶地址信息建立與用戶的連接。大多數情況下,上述過程不會出現任何問題,但當客戶端是一名惡意用戶時,可能會通過在PORT命令中加入特定的地址信息,使FTP伺服器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權直接訪問某一特定機器,但是如果FTP伺服器有權訪問該機器的話,那麼惡意用戶就可以通過FTP伺服器作為中介,仍然能夠最終實現與目標伺服器的連接。這就是FXP,也稱跨伺服器攻擊。選中後就可以防止發生此種情況。
其次,在「高級」選項卡中,檢查「加密密碼」和「啟用安全」是否被選中,如果沒有,選擇它們。「加密密碼」使用單向hash函數(MD5)加密用戶口令,加密後的口令保存在ServUDaemon。ini或是注冊表中。如果不選擇此項,用戶口令將以明文形式保存在文件中:「啟用安全」將啟動Serv-U伺服器的安全成功。
2)對域中的伺服器進行設置
前面說過,FTP默認為明文傳送密碼,
容易被人嗅探,對於只擁有一般許可權的賬戶,危險並不大,但如果該賬戶擁有遠程管理尤其是系統管理員許可權,則整個伺服器都會被別人遠程式控制制。Serv-U對每個賬戶的密碼都提供了以下三種安全類型:規則密碼、OTP S/KEY MD4和OTP S/KEY MD5。不同的類型對傳輸的加密方式也不同,以規則密碼安全性最低。進入擁有一定管理許可權的賬戶的設置中,在「常規」選項卡的下方找到「密碼類型」下拉列表框,選中第二或第三種類型,保存即可。注意,當用戶憑此賬戶登錄伺服器時,需要FTP客戶端軟體支持此密碼類型,如CuteFTP Pro等,輸入密碼時選擇相應的密碼類型方可通過伺服器驗證。
與IIS一樣,還要謹慎設置主目錄及其許可權,凡是沒必要賦予寫入等能修改伺服器文件或目錄許可權的,盡量不要賦予。最後,進入「設置」,在「日誌」選項卡中將「啟用記錄到文件」選中,並設置好日誌文件名及保存路徑、記錄參數等,以方便隨時查詢伺服器異常原因。
『伍』 怎樣將上傳ftp中的文件加密
顧名思義,就是專門用來傳輸文件的協議。而FTP伺服器,則是在互聯網上提供存儲空間的計算機,它們依照FTP協議提供服務。當它們運行時,用戶就可以連接到伺服器上下載文件,也可以將自己的文件上傳到FTP伺服器中。因此,FTP的存在,大大方便了網友之間遠程交換文件資料的需要,充分體現了互聯網資源共享的精神。現在許多朋友都已經用上了寬頻網,而且硬碟也有足夠的空間,完全可以通過軟體手段把自己的電腦變為一台FTP伺服器,和網路中的朋友們一起分享大家各自收藏的好東東!
架設FTP伺服器,其實並沒有技術難度,只需用Serv-U這個軟體就可輕松搞定了。Serv-U支持所有版本的Windows操作系統,可以設定多個FTP伺服器,可以限定登錄用戶的許可權、登錄目錄及伺服器空間大小,功能非常完善。以下筆者就以Serv-U漢化版為例,給大家講講架設個人FTP的具體步驟。
首先下載安裝Serv-U,運行,將出現「設置向導」窗口,我們就來跟隨著這個向導的指引,一步步進行操作。
1. 設置Serv-U的IP地址與域名
一路單擊「下一步」跳過系統提示信息,來到「您的IP地址」窗口,這里要求輸入本機的IP地址。
如果你的電腦有固定的IP地址,那就直接輸入;如果你只有動態IP(例如撥號用戶),那該處請留空,Serv-U在運行時會自動確定你的IP地址。
下一步,進行「域名」設定。這個域名只是用來標識該FTP域,沒有特殊的含義,比如筆者輸入「ftp.oray.net」。
接下來的「系統服務」選項必須選「是」,這樣當你的電腦一啟動,伺服器也會跟著開始運行。
3.創建新賬戶
緊接著要設置該賬戶的遠程管理員許可權,分為「無許可權」、「組管理員」、「域管理員」、「只讀管理員」和「系統管理員」五種選項,每項的許可權各不相同,可根據具體情況進行選擇。
至此,我們已擁有了一個域——ftp.oray.net及兩
個用戶——Anonymous和oray。點擊「完成」退出向導,稍等片刻Serv-U軟體主界面將自動彈出,我們還要在此進行一些管理員設置。
4.管理員設置
每個Serv-U引擎都能用來運行多個虛擬的FTP伺服器,而虛擬的FTP伺服器就稱為「域」。
對FTP伺服器來說,建立多個域是非常有用的,每個域都有各自的用戶、組和相關的設置。以下筆者就簡要說說管理器界面上必要的各項設置。
★ 首先點擊窗體左方的「本地伺服器」,勾選右邊的「自動開始(系統服務)」。
★ 選擇左方的「域→活動」,這里記載了該域下所有用戶的活動情況,是非常重要的監控數據。
★ 「域→組」:在此可自建一些用戶組,把各類用戶歸到相應的組中,便於管理。
★ 「域→用戶」:這里有我們剛建立的兩個賬號,其中的細節設置十分重要,具體如下。
常規:根據自身的實際需要,在此設置最大的下載和上傳速度、登錄到本伺服器的最大用戶數、同一IP的登錄線程數等。
IP訪問:你可以在此拒絕某個討厭的IP訪問你的FTP伺服器,只要在「編輯規則」處填上某個IP地址,以後該IP的訪問將會全部被攔下。
配額:勾選「啟用磁碟配額」,在此為每位FTP用戶設置硬碟空間。點擊「計算當前」,可知當前的所有已用空間大小,在「最大」一欄中設定最大的空間值。
最後,請在有改動內容的標簽卡上點擊右鍵,選擇「應用」,如此才能使設置生效!
好了!現在,一個簡單的個人FTP伺服器就已經完整地呈現在你面前了。不過這時還要測試一下能否成功地下載和上傳。
下載和上傳要使用FTP伺服器下載和上傳,就要用到FTP的客戶端軟體。常用的FTP客戶端軟體有CuteFTP、FlashFXP、FTP Explorer等等。對於它們的具體使用,這里就不細講了。基本上只要在這些軟體的「主機名」處中填入你廟宇的FTP伺服器IP地址,而後依次填入用戶名,密碼和埠(一般為21),點擊連接,只要能看到你設定的主目錄並成功實現文件的下載和上傳,就說明這個用Serv-U建立起來的FTP伺服器能正常使用了!!
『陸』 如何對FTP存檔進行加密
windows用戶 安裝Secure FTP或者 Flash FXP
Secure FTP的使用方法如下:
步驟1:啟動Secure FTP,點擊工具欄上的紅綠燈按鈕打開連接對話框,如圖3所示,在「hostname」中填入Serv-U FTP Server伺服器的IP地址,在下面兩欄中分別填入FTP帳戶名和密碼。
步驟2:切換到「Secutity」標簽,點擊「Secutity」欄下的下拉框,可以發現它支持兩種連接方式:普通的連接和implicit SSL連接,不支持explicit SSL連接(如果您一定要使用這種連接,您可以使用Secure FTP的命令行版本,它支持所有的連接方式),這里我們選擇「implicit SSL」項,並勾選「Data Encryption」項。完成後點擊「connect」即開始連接伺服器。由於是SSL連接,所以連接時間明顯比普通連接要長.當第一次使用時,還會彈出一個接受伺服器證書的對話框,點擊「Grant Always」按鈕接受即可。
Flash FXP比較方便 就不說了
『柒』 ftp虛擬賬戶設置以及ssl加密
注意1 :
打開 FTP 伺服器上的文件夾時發生錯誤。請檢查是否有許可權訪問該文件夾。
詳細信息:
200 Switching to ASCII mode.
227 Entering Passive Mode (0,0,0,0,227,175).
解決:
在windows下操作:
打開 「網路和共享中心」,找到「Internet選項」 -->【高級】這頁,
取消掉「使用被動FTP(用於防火牆和DSL數據機的兼容)」
注意2 : 雲主機防火牆設置
pasv_min_port=30000 ##被動模式最小埠
pasv_max_port=30010 ##被動模式最大埠
需要在伺服器端開放防火牆20/21以及30000/30010即可
參考:
mkdir /etc/vsftpd/sslkey
cd /etc/vsftpd/sslkey
openssl req -x509 -nodes -keyout /etc/vsftpd/sslkey/vsftpd.pem -out /etc/vsftpd/sslkey/vsftpd.pem -days 365 -newkey rsa:2048
vim /etc/vsftpd/vsftpd.conf 添加
參考:
1 FTP匿名訪問是FTP安全問題中最常見的問題,取消匿名訪問
2 未限制登錄用戶訪問目錄許可權,配置加固
除了chroot_list中的用戶都不能訪問上級根目錄
3 使用虛擬賬戶
4 密碼和文件內容都使用明文傳輸,可能產生不希望發生的竊聽,使用ftps ftp+ssl
注意登錄必須使用
5 在使用FTP時,如果客戶端機器和FTP伺服器雙方之間的所有埠都是開放的,那連接不存在問題。如果客戶端與伺服器之間有防火牆,如果沒配置好防火策略和採用合適的連接模式,會導致登錄成功,但無法List列表的問題。要避免出現這樣的問題,首先要了解FTP的工作模式。我採取的是被動模式
可參考
6 tcpmp port 21 -nA 可通過此命令查看ftp如果不添加ssl就是明文傳輸