使用SSLTLS加固FTP服務(wù)器課件_第1頁
使用SSLTLS加固FTP服務(wù)器課件_第2頁
使用SSLTLS加固FTP服務(wù)器課件_第3頁
使用SSLTLS加固FTP服務(wù)器課件_第4頁
使用SSLTLS加固FTP服務(wù)器課件_第5頁
已閱讀5頁,還剩29頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

數(shù)據(jù)加密傳輸數(shù)據(jù)加密傳輸項目描述某公司在校園網(wǎng)中使用vsftpd搭建了一個FTP服務(wù)器,在使用中發(fā)現(xiàn)有人采用抓包軟件抓取訪問口令。為了保證客戶機(jī)和服務(wù)器之間傳輸數(shù)據(jù)的保密性和完整性,公司決定使用SSL/TLS協(xié)議加固FTP服務(wù)器,客戶機(jī)和服務(wù)器之間采用SSL/TLS協(xié)議加密數(shù)據(jù)。項目描述某公司在校園網(wǎng)中使用vsftpd搭建了一個F拓?fù)鋱DFTP服務(wù)器0/24FTP客戶端0/24FTP移動客戶端FTP客戶端上傳下載拓?fù)鋱DFTP服務(wù)器FTPFTPFTP上傳下載一、SSL/TLS協(xié)議概述FTP(文件傳輸協(xié)議)是采用明文傳輸?shù)模馕吨粫用軆膳_機(jī)器之間傳輸?shù)臄?shù)據(jù)以及用戶的憑據(jù)。這使得數(shù)據(jù)和服務(wù)器安全面臨很大威脅。SSL(SecureSocketLayer,安全套接字層)

是一個安全協(xié)議,它提供使用

TCP/IP

的通信應(yīng)用程序間的隱私與完整性。在實際的數(shù)據(jù)傳輸開始前,通訊雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等初始化協(xié)商功能,在此基礎(chǔ)上為雙方通訊提供數(shù)據(jù)封裝、壓縮、加密等基本功能。其協(xié)商過程如下圖。TLS:(TransportLayerSecurity,傳輸層安全協(xié)議),用于兩個應(yīng)用程序之間提供保密性和數(shù)據(jù)完整性。它建立在SSL3.0協(xié)議規(guī)范之上,是SSL3.0的后續(xù)版本。一、SSL/TLS協(xié)議概述FTP(文件傳輸協(xié)議)是采用明文傳一、SSL/TLS協(xié)議概述客戶機(jī)發(fā)出會話請求0客戶機(jī)生成隨機(jī)對稱密鑰,并用服務(wù)器的公鑰加密服務(wù)器發(fā)送X.509證書(包含服務(wù)器的公鑰)客戶機(jī)和服務(wù)器都知道了對稱密鑰,并用它來加密會話期間的最終用戶數(shù)據(jù)客戶端用已知的CA列表來認(rèn)證服務(wù)器的證書,如果不知道CA,會顯示證書并讓用戶選擇自擔(dān)風(fēng)險來接受證書一、SSL/TLS協(xié)議概述客戶機(jī)發(fā)出會話請求ftp://19二、使用SSL/TLS加固FTP服務(wù)器1.生成SSL/TLS證書和密鑰[root@server~]#mkdir/etc/ssl/serverkey//創(chuàng)建用于保存SSL/TLS證書和密鑰文件的子目錄[root@server~]#opensslreq-x509-nodes-keyout/etc/ssl/serverkey/vsftpd.pem-out/etc/ssl/serverkey/vsftpd.pem-days365-newkeyrsa:2048//創(chuàng)建證書和密鑰并保存到一個文件中//opensslreq用于生成證書請求。//-x509

:-X.509標(biāo)準(zhǔn)證書數(shù)據(jù)管理。//-nodes:明確指定不需要密碼保護(hù)。//-keyout

:-keyout可以指定生成的私鑰文件名。//-out:設(shè)置證書存儲文件,注意證書和密鑰都保存在一個相同的文件:/etc/ssl/serverkey/vsftpd.pem。//-days:定義證書的有效日期。//-newkey:指定證書密鑰處理器。//rsa:2048

:RSA密鑰處理器,會生成一個2048位的密鑰。二、使用SSL/TLS加固FTP服務(wù)器1.生成SSL/TL二、使用SSL/TLS加固FTP服務(wù)器2.根據(jù)命令提示設(shè)置證書相關(guān)詳細(xì)情況CountryName(2lettercode)[XX]:CNStateorProvinceName(fullname)[]:hubeiLocalityName(eg,city)[DefaultCity]:yichangOrganizationName(eg,company)[DefaultCompanyLtd]:OrganizationalUnitName(eg,section)[]:sxzyCommonName(eg,yournameoryourserver'shostname)[]:server-ftpEmailAddress[]:amdin@二、使用SSL/TLS加固FTP服務(wù)器2.根據(jù)命令提示設(shè)置證二、使用SSL/TLS加固FTP服務(wù)器3.配置VSFTPD使用SSL/TLS的端口[root@server~]#firewall-cmd--zone=public--permanent--add-port=990/tcp[root@server~]#firewall-cmd--zone=public--permanent--add-port=40000-50000/tcp//開放990和40000-50000端口,以便在VSFTPD配置文件中分別定義TLS連接的端口和被動端口的端口范圍。[root@server~]#firewall-cmd--reload二、使用SSL/TLS加固FTP服務(wù)器3.配置VSFTPD二、使用SSL/TLS加固FTP服務(wù)器4.配置VSFTPD配置文件并在文件中指定SSL的詳細(xì)信息[root@server~]#vim/etc/vsftpd/vsftpd.confssl_enable=YES//啟用ssl(需添加)ssl_tlsv1=YES//指定vsftpd支持TLSv1(TSL比SSL更安全)(需添加)ssl_sslv2=NO//指定vsftpd不支持SSLv2(需添加)ssl_sslv3=NO//指定vsftpd不支持SSLv3(需添加)rsa_private_key_file=/etc/ssl/serverkey/vsftpd.pem//指定私鑰路徑(需添加)rsa_cert_file=/etc/ssl/serverkey/vsftpd.pem//指定SSL證書路徑(需添加)allow_anon_ssl=NO//禁止匿名用戶使用SSL(需添加)force_local_logins_ssl=yes

//強(qiáng)制所有非匿名用戶使用加密登陸(需添加)force_local_data_ssl=yes

//強(qiáng)制所有非匿名用戶使用加密數(shù)據(jù)傳輸(需添加)二、使用SSL/TLS加固FTP服務(wù)器4.配置VSFTPD二、使用SSL/TLS加固FTP服務(wù)器4.配置VSFTPD配置文件并在文件中指定SSL的詳細(xì)信息pasv_min_port=40000//被動端口的范圍(需添加)pasv_max_port=50000[root@server~]#systemctlrestartvsftpd.service二、使用SSL/TLS加固FTP服務(wù)器4.配置VSFTPD三、客戶端驗證1.配置創(chuàng)建驗證用戶及文檔[root@server~]#useraddstudent[root@server~]#passwdstudent[root@server~]#echothisistestfile>/home/student/test.txt三、客戶端驗證1.配置創(chuàng)建驗證用戶及文檔三、客戶端驗證2.匿名用戶登錄[root@localhost~]#ftp0Name(0:root):ftp230Loginsuccessful.//匿名用戶登錄不需要使用SSL(allow_anon_ssl=NO)3.非匿名用戶登錄[root@localhostclient]#ftp0Name(0:root):student530Non-anonymoussessionsmustuseencryption.//提示

只允許用戶從支持加密服務(wù)的客戶端登錄。Loginfailed.三、客戶端驗證2.匿名用戶登錄三、客戶端驗證4、安裝支持SSL/TLS連接的FTP客戶端,例如FileZilla。[root@localhost~]#yum

installepel-releasefilezilla//客戶機(jī)安裝filezilla軟件5、使用FileZilla登錄服務(wù)器三、客戶端驗證4、安裝支持SSL/TLS連接的FTP三、客戶端驗證顯示服務(wù)器證書信息并提示客戶機(jī)三、客戶端驗證顯示服務(wù)器證書信息并提示客戶機(jī)三、客戶端驗證TLS/SSL連接建立成功,下載文件成功三、客戶端驗證TLS/SSL連接建立成功,下載文件成功小結(jié)SSL/TLS證書和私鑰的生成主配文件的修改客戶機(jī)的訪問小結(jié)SSL/TLS證書和私鑰的生成謝謝謝謝數(shù)據(jù)加密傳輸數(shù)據(jù)加密傳輸項目描述某公司在校園網(wǎng)中使用vsftpd搭建了一個FTP服務(wù)器,在使用中發(fā)現(xiàn)有人采用抓包軟件抓取訪問口令。為了保證客戶機(jī)和服務(wù)器之間傳輸數(shù)據(jù)的保密性和完整性,公司決定使用SSL/TLS協(xié)議加固FTP服務(wù)器,客戶機(jī)和服務(wù)器之間采用SSL/TLS協(xié)議加密數(shù)據(jù)。項目描述某公司在校園網(wǎng)中使用vsftpd搭建了一個F拓?fù)鋱DFTP服務(wù)器0/24FTP客戶端0/24FTP移動客戶端FTP客戶端上傳下載拓?fù)鋱DFTP服務(wù)器FTPFTPFTP上傳下載一、SSL/TLS協(xié)議概述FTP(文件傳輸協(xié)議)是采用明文傳輸?shù)?,意味著它不會加密兩臺機(jī)器之間傳輸?shù)臄?shù)據(jù)以及用戶的憑據(jù)。這使得數(shù)據(jù)和服務(wù)器安全面臨很大威脅。SSL(SecureSocketLayer,安全套接字層)

是一個安全協(xié)議,它提供使用

TCP/IP

的通信應(yīng)用程序間的隱私與完整性。在實際的數(shù)據(jù)傳輸開始前,通訊雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等初始化協(xié)商功能,在此基礎(chǔ)上為雙方通訊提供數(shù)據(jù)封裝、壓縮、加密等基本功能。其協(xié)商過程如下圖。TLS:(TransportLayerSecurity,傳輸層安全協(xié)議),用于兩個應(yīng)用程序之間提供保密性和數(shù)據(jù)完整性。它建立在SSL3.0協(xié)議規(guī)范之上,是SSL3.0的后續(xù)版本。一、SSL/TLS協(xié)議概述FTP(文件傳輸協(xié)議)是采用明文傳一、SSL/TLS協(xié)議概述客戶機(jī)發(fā)出會話請求0客戶機(jī)生成隨機(jī)對稱密鑰,并用服務(wù)器的公鑰加密服務(wù)器發(fā)送X.509證書(包含服務(wù)器的公鑰)客戶機(jī)和服務(wù)器都知道了對稱密鑰,并用它來加密會話期間的最終用戶數(shù)據(jù)客戶端用已知的CA列表來認(rèn)證服務(wù)器的證書,如果不知道CA,會顯示證書并讓用戶選擇自擔(dān)風(fēng)險來接受證書一、SSL/TLS協(xié)議概述客戶機(jī)發(fā)出會話請求ftp://19二、使用SSL/TLS加固FTP服務(wù)器1.生成SSL/TLS證書和密鑰[root@server~]#mkdir/etc/ssl/serverkey//創(chuàng)建用于保存SSL/TLS證書和密鑰文件的子目錄[root@server~]#opensslreq-x509-nodes-keyout/etc/ssl/serverkey/vsftpd.pem-out/etc/ssl/serverkey/vsftpd.pem-days365-newkeyrsa:2048//創(chuàng)建證書和密鑰并保存到一個文件中//opensslreq用于生成證書請求。//-x509

:-X.509標(biāo)準(zhǔn)證書數(shù)據(jù)管理。//-nodes:明確指定不需要密碼保護(hù)。//-keyout

:-keyout可以指定生成的私鑰文件名。//-out:設(shè)置證書存儲文件,注意證書和密鑰都保存在一個相同的文件:/etc/ssl/serverkey/vsftpd.pem。//-days:定義證書的有效日期。//-newkey:指定證書密鑰處理器。//rsa:2048

:RSA密鑰處理器,會生成一個2048位的密鑰。二、使用SSL/TLS加固FTP服務(wù)器1.生成SSL/TL二、使用SSL/TLS加固FTP服務(wù)器2.根據(jù)命令提示設(shè)置證書相關(guān)詳細(xì)情況CountryName(2lettercode)[XX]:CNStateorProvinceName(fullname)[]:hubeiLocalityName(eg,city)[DefaultCity]:yichangOrganizationName(eg,company)[DefaultCompanyLtd]:OrganizationalUnitName(eg,section)[]:sxzyCommonName(eg,yournameoryourserver'shostname)[]:server-ftpEmailAddress[]:amdin@二、使用SSL/TLS加固FTP服務(wù)器2.根據(jù)命令提示設(shè)置證二、使用SSL/TLS加固FTP服務(wù)器3.配置VSFTPD使用SSL/TLS的端口[root@server~]#firewall-cmd--zone=public--permanent--add-port=990/tcp[root@server~]#firewall-cmd--zone=public--permanent--add-port=40000-50000/tcp//開放990和40000-50000端口,以便在VSFTPD配置文件中分別定義TLS連接的端口和被動端口的端口范圍。[root@server~]#firewall-cmd--reload二、使用SSL/TLS加固FTP服務(wù)器3.配置VSFTPD二、使用SSL/TLS加固FTP服務(wù)器4.配置VSFTPD配置文件并在文件中指定SSL的詳細(xì)信息[root@server~]#vim/etc/vsftpd/vsftpd.confssl_enable=YES//啟用ssl(需添加)ssl_tlsv1=YES//指定vsftpd支持TLSv1(TSL比SSL更安全)(需添加)ssl_sslv2=NO//指定vsftpd不支持SSLv2(需添加)ssl_sslv3=NO//指定vsftpd不支持SSLv3(需添加)rsa_private_key_file=/etc/ssl/serverkey/vsftpd.pem//指定私鑰路徑(需添加)rsa_cert_file=/etc/ssl/serverkey/vsftpd.pem//指定SSL證書路徑(需添加)allow_anon_ssl=NO//禁止匿名用戶使用SSL(需添加)force_local_logins_ssl=yes

//強(qiáng)制所有非匿名用戶使用加密登陸(需添加)force_local_data_ssl=yes

//強(qiáng)制所有非匿名用戶使用加密數(shù)據(jù)傳輸(需添加)二、使用SSL/TLS加固FTP服務(wù)器4.配置VSFTPD二、使用SSL/TLS加固FTP服務(wù)器4.配置VSFTPD配置文件并在文件中指定SSL的詳細(xì)信息pasv_min_port=40000//被動端口的范圍(需添加)pasv_max_port=50000[root@server~]#systemctlrestartvsftpd.service二、使用SSL/TLS加固FTP服務(wù)器4.配置VSFTPD三、客戶端驗證1.配置創(chuàng)建驗證用戶及文檔[root@server~]#useraddstudent[root@ser

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論