ftp服务器ssl过期

① ftp服务器如何配置

• 首先我们创建一个用户账户用于登录FTP进行操作。右键点击桌面的我的点击选择管理选项，进入管理界面打开本地用户和组选项，我们可以看到列表中的用户选项

  

② 阿里云服务器上搭建FTP后，外网访问不了

1、解决方案：
ftp默认模式为被动模式，开启一个随机端口建立连接。需要把内网端口限制打开，
如果是通过硬件防火墙，将防火墙开启ftp随机端口就可以了

2、两种方式的工作原理：
主动模式：

Port模式FTP 客户端首先和FTP服务器的TCP
21端口建立连接，通过这个通道发送命令，客户端需要接收数据的时候在这个通道上发送PORT命令。
PORT命令包含了客户端用什么端口接收数据。在传送数据的时候，服务器端通过自己的TCP 20端口连接至客户端的指定端口发送数据。 FTP
server必须和客户端建立一个新的连接用来传送数据。（可以看到在这种方式下是客户端和服务器建立控制连接，服务器向客户端建立数据连接，其中，客户端的控制连接和数据连接的端口号是大于1024的两个端口号（临时端口），而FTP服务器的数据端口为20，控制端口为21）
被动模式：
Passive模式在建立控制通道的时候和Standard模式类似，但建立连接后发送的不是Port命令，而是Pasv命令。FTP服务器收到Pasv命令后，随机打开一个临时端口（也叫自由端口，端口号大于1023小于65535）并且通知客户端在这个端口上传送数据的请求，客户端连接FTP服务器此端口，然后FTP服务器将通过这个端口进行数据的传送，这个时候FTP

server不再需要建立一个新的和客户端之间的连接。（可以看到这种情况下的连接都是由客户端向服务器发起的，与下面所说的“为了解决服务器发起到客户的连接的问题，人们开发了一种不同的FTP连接方式。这就是所谓的被动方式”相对应，而服务器端的数据端口是临时端口，而不是常规的20）
很多防火墙在设置的时候都是不允许接受外部发起的连接的，所以许多位于防火墙后或内网的FTP服务器不支持PASV模式，因为客户端无法穿过防火墙打开FTP服务器的高端端口；而许多内网的客户端不能用PORT模式登陆FTP服务器，因为从服务器的TCP
20无法和内部网络的客户端建立一个新的连接，造成无法工作。
主动模式要求客户端和服务器端同时打开并且监听一个端口以建立连接。在这种情况下，客户端由于安装了防火墙会产生一些问题。所以，创立了被动模式。被动模式只要求服务器端产生一个监听相应端口的进程，这样就可以绕过客户端安装了防火墙的问题。
在被动方式FTP中，命令连接和数据连接都由客户端发起，这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。

③ ftp虚拟账户设置以及ssl加密

注意1 ：
打开 FTP 服务器上的文件夹时发生错误。请检查是否有权限访问该文件夹。
详细信息:
200 Switching to ASCII mode.
227 Entering Passive Mode (0,0,0,0,227,175).
解决：
在windows下操作：
打开 “网络和共享中心”，找到“Internet选项” -->【高级】这页，
取消掉“使用被动FTP(用于防火墙和DSL调制解调器的兼容)”
注意2 ： 云主机防火墙设置
pasv_min_port=30000 ##被动模式最小端口
pasv_max_port=30010 ##被动模式最大端口
需要在服务器端开放防火墙20/21以及30000/30010即可

参考：

mkdir /etc/vsftpd/sslkey
cd /etc/vsftpd/sslkey
openssl req -x509 -nodes -keyout /etc/vsftpd/sslkey/vsftpd.pem -out /etc/vsftpd/sslkey/vsftpd.pem -days 365 -newkey rsa:2048

vim /etc/vsftpd/vsftpd.conf 添加

参考：

1 FTP匿名访问是FTP安全问题中最常见的问题,取消匿名访问

2 未限制登录用户访问目录权限，配置加固

除了chroot_list中的用户都不能访问上级根目录
3 使用虚拟账户
4 密码和文件内容都使用明文传输，可能产生不希望发生的窃听，使用ftps ftp+ssl
注意登录必须使用
5 在使用FTP时，如果客户端机器和FTP服务器双方之间的所有端口都是开放的，那连接不存在问题。如果客户端与服务器之间有防火墙，如果没配置好防火策略和采用合适的连接模式，会导致登录成功，但无法List列表的问题。要避免出现这样的问题，首先要了解FTP的工作模式。我采取的是被动模式
可参考

6 tcpmp port 21 -nA 可通过此命令查看ftp如果不添加ssl就是明文传输

④ 濡备綍閲嶆柊瀹夎却sl璇佷功

1.閲嶆柊瀹夎却sl锛岃繃绋嫔备笅锛

绗涓姝ワ细
opensslgenrsa-des3-outserver1.key1024
GeneratingRSAprivatekey,1024bitlongmolus
......++++++
........++++++
eis65537(0x10001)
Enterpassphraseforserver1.key:姝ゅ勮剧疆涓瀵嗙爜
Verifying-Enterpassphraseforserver1.key:閲嶆柊杈揿叆璁剧疆涓瀵嗙爜

绗锲涙ワ细
#opensslrsa-inserver1.key.org-outserver1.key
Enterpassphraseforserver1.key.org:姝ゅ勮緭鍏ュ垰镓嶈剧疆镄勫瘑镰
writingRSAkey

绗浜旀ワ细
]#opensslx509-req-days365-inserver1.csr-signkeyserver1.key-outserver1.crt
Signatureok
subject=/C=CN/ST=Beijing/L=Beijing/O=xo/OU=xo/CN=xo
GettingPrivatekey2.瀹夎呭畬ssl锛