一、简介
FTP是TCP/IP网络上两台计算机传送文件的协议,FTP是在TCP/IP网络和INTERNET上最早使用的协议之一,它属于网络协议组的应用层。FTP客户机可以给服务器发出命令来下载文件,上传文件,创建或改变服务器上的目录。ftp文件传输是一种明文的传输方式,通过抓包工具可以轻易的截取用户的传输内容以及密码等信息,所以需要一种更安全的传输机制。
 
FTPS是在安全套接层使用标准的FTP协议和指令的一种增强型TFP协议,为FTP协议和数据通道增加了SSL安全功能。FTPS也称作“FTP-SSL”和“FTP-over-SSL”。SSL是一个在客户机和具有SSL功能的服务器之间的安全连接中对数据进行加密和解密的协议。
 
FTP两种工作模式:主动模式(Active FTP)和被动模式(Passive FTP)
主动模式:FTP客户端随机开启一个大于1024的端口N向服务器的21号端口发起连接,然后开放N+1号端口进行监听,并向服务器发出PORT N+1命令。服务器接收到命令后,会用其本地的FTP数据端口(通常是20)来连接客户端指定的端口N+1,进行数据传输。
 
被动模式:FTP库户端随机开启一个大于1024的端口N向服务器的21号端口发起连接,同时会开启N+1号端口。然后向服务器发送PASV命令,通知服务器自己处于被动模式。服务器收到命令后,会开放一个大于1024的端口P进行监听,然后用PORT P命令通知客户端,自己的数据端口是P。客户端收到命令后,会通过N+1号端口连接服务器的端口P,然后在两个端口之间进行数据传输。
二:案例
通过为自己企业的ftp增加ssl的功能,有效提高ftp服务器的安全性。
配置步骤:
首先安装wireshark抓包工具
[root@localhost ~]# mkdir /mnt/cdrom
[root@localhost ~]# mount /dev/cdrom /mnt/cdrom
mount: block device /dev/cdrom is write-protected, mounting read-only
[root@localhost Server]# yum install wireshark
安装ftp服务
[root@localhost Server]# yum install vsftpd-2.0.5-16.el5.i386.rpm
创建用户设置密码
[root@localhost Server]# useradd user1
[root@localhost Server]# passwd user1
Changing password for user user1.
New UNIX password:
BAD PASSWORD: it is WAY too short
Retype new UNIX password:
passwd: all authentication tokens updated successfully.
启动ftp服务
[root@localhost Server]# service vsftpd start
为 vsftpd 启动 vsftpd:                                     [确定]
在机器上登录ftp

 

 

运行wireshark进行抓包

 

 

 

可以清楚地抓到帐号和密码,为了安全采用ftps机制
修改CA服务器的配置文件
[root@localhost Server]# cd /etc/pki/
[root@localhost pki]# vim tls/openssl.cnf
45 dir              = /etc/pki/CA           # Where everything is kept      //修改路径
88 countryName