052 尚硅谷-Linux云计算-网络服务-VSFTP-openssl+vsftp加密传输（下）

大家好，欢迎大家继续收看上硅谷的Linux云计算视频，我是刘川老师。那我们呢，前两章节讲了一下关于open SL的加密，呃。验证登录的一个实验的一个，呃。小工具以及呢一个工作原理，那我们本节课来讲一下关于我们这个open SL和VSFTP这个软件结合之后的这么一个实验啊。OK，那么来简单看一下这个实验流程，然后我们来跟着做一下啊，OK，第一个步骤是首先要检查一下我们的这个RFTP服务器是否安装了open SL，那既然我们这个服务器要做CA服务器，肯定要支持证书的是吗？证书的生成和创建。有时候会颁布证书才可以，那颁布证书需要一个工具，就是我们的这个open ccr工具，OK。所以要先检查有没有安装，然后呢，并且要检查一下我们的FTP是否支持我们的op派S，当然检查的不是FTP协议啊，而是检查到我们这个VSFTP这个软件是否支持我们open s。

这个的检查方式呢，用LD名来检查，OK，那如果呃首先安装了，其次呢也支持的话，那我们就可以通过这个工具来进行一个呃，密钥文件和证书文件以及签字证书文件的一个颁布了，OK，那下边是一个步骤，我们先。不看我们一会再说。注意，这个时候证书文件产生之后还不行，为什么我们的服务器呢？还要修改成以加密证书方式的形式来验证才可以，也就是说还得让我们的VSFTP这个软件。能够识别证书，能够自动调用证书才可以，并且呢，还需要去开启一些，比如说。呃，到底是我们的匿名账户啊，还是本地账户还是虚拟账户，在进行登录验证过程和传输过程使用加密对吧，我们还要指定一下谁使用这个加密，OK。

然后最终我们要重启服务，然后呢，来使用第三方来验证一下，OK。我们大题的过程好了，我们先来看第一个步骤，首先看服务器端是否安装了open CL，那很简单啊，我们用R-Q的方式，用RPM-Q的方式叫open s SL。如果显示对应的软件版本，则代表已经安装，如果显示not found，呃，或者叫not install，那代表没有安装啊，OK。安装了，我们再来检查一下我们的VSFTP这个软件是否支持这个检查方式用LDD调用，呃，就是查看一下我们的VSFTP在执行时是否调用一个叫lib s SL的这么一个模块就可以了。OK，我们来看一下，首先第一个命令叫which，查看一下我们的。VSFTPD在哪？在user sb下，然后用LDD的方式来查看一下根下的user sbin下的VSFTPD。

然后呢，会显示很多它调用的一些模块。So模块文件，这时候呢，我们需要知道它支不支持SL，诶这个。代表我们的。VSFTP这个软件支持Excel。两个都验证好了，然后我们来通过这个安装了的OPEN42来生成我们的。密钥和证书文件，当然这个地方啊，就直接将这个，呃，密钥和证书文件生成在一个它默认的位置，叫ETC下的SSL目录下的叫什么secret啊。然后呢？找一下CD的ETC写的，SCL下的。这个梦态已经有一些文件了，但是我们其实暂时不需要，我们直接把我们的文件产生在这就可以了。产生步骤有这么几个，第一个叫产生。次要文件，也就是密钥文件。先产生密钥文件。随机的。啊，随机的。

我们看一下公这个产生的方式叫open啊，General。杠out生成。VSFTPd.K这个文件就是那个密钥文件名。注意啊，叫VSFTPd.K。因为说这个有限制，没有限制就随便起，但是一会儿要用这个名字，所以说这你咋起的一会儿就咋用啊，OK，加密长度1024啊，加密长度1024。这个呢，其实就是什么。RA就是RA的类型的加密。就类似于我们之前那个SSH-K-TR一样的啊OK。好了，这是生成我们的一个。呃，R sa的一个密钥，那我们先来生成一下啊，叫open SL。然后呢，叫JR。

R。VSFTP地点。然后呢，长度是1024，哎，我之前给大家说过啊，这个rsa的加密尽量是1024位以上的啊，可以是2048。024位以上的就是1024位以内的啊，就是已经有暴力破解的方式可以破解了，但是并不是算法破解啊OK。好，我们先来生成我们的。OK，密钥文件生成成功了。随机的生完了之后呢，我们来看一下这个文件。VSFTP。A。VSFT点。这个文件生成之后呢，我们需要通过这个密钥文件再去干嘛呀，再去生成我们的证书文件，通过密钥文件生成证书，因为它是一对嘛，必须是相关联的。

OK，生成方式叫OPEN3-REQ。GU6U。杠。然后VSFTBGK-out。刚out就生成一个什么什么的文件了啊OK，和上面是一样的。而前面这些就是指定使用我们的什么？密钥文件产生我们的证书文件。产生一个新的。产生一个新的。那这里边儿呢，就是产生的过程，这个命令在执行之后呢，它会有一个询问过程。下头有个询问过程。我们需要依次填入的信息有什么国家？所在地区、所在城市、所在组织，所在组织的单位名称或者叫部门名称以及email信息，还有最后一个，也是最重要的就是什么。就是什么？就是我们的叫靠叫common name可以写成你的名字或域名，也就说你到底是个人啊还是单位啊，如果是单位就写那个公司，就是写网站的域名，如果是个人就写个人的名字就可以了。

如果是为了申请HTPS，则必须和对应的域名吻合，就是如果你用的是网址，则必须写域名。则必须性。好了，这就是生成我们的这个。证书的一个过程。Open SL。不是，Re EQ。刚。三六杠K。使用的是VSFTPD点。杠out，后边是VSFTPD点叫CSR。CSR。首先是国家。CN。然后是地区。然后是城市BJ。然后是组织和组织单位。

我们就写A。硅谷。这个地方如果写错了啊，这个地方如果写错了啊，你看比如说我写错了，你用山式用。这个退格键删删不了的要用。Control。加推键就可以删除了，比如说我们叫艾特硅谷。然后呢，是我们的部门，我就写云计算。然后呢，再来写你的这个。Host。你的名字啊？Your name your service host，那这个地方我们就写我们的域名3W点。At硅谷点儿。然后最后是email email这个地方可以跳过啊，就不写了，然后呢，最后这个地方它有一个是否要就是a challenge password，就是否要设置一个这种这种的一个密码，我们不设置直接跳过，为什么呢？因为我们不能够对。是正数文件加密，一旦对正数文件加密，只要有人去调用正数文件，就必须先解密，那那这个就就不方便了，就不方便了，所以我们不用对正数文件加密啊，这个地方直接跳过。

证书已经有了，那我们的证书你有了。好了，接下来第三步就是通过我们的证书文件。来颁发签字后的证书啊，来颁发签字后的证书，那我们的证书文件是通过呃。密钥文件生成的，但是呢，它的加密还不是特别的安全，我们需要更高级的啊加密OK，我们来看一下这个地方呢，首先是用open s SL叉，呃，X509这是一个，这是一个颁发格式，就记住就可以了，X509-RQ-days指的是证书的时效，三百六十五指的是一年杠SHA25六指的是加密类型啊以及加密类型的长度，指的使用的SH的加密以及256长度。

然后印。In指的是使用的证书啊，指使用的证书，证书是VSFTPD.csr刚我们的singer k指的是使用的是哪一个密钥文件VSFTB.k-out通过证书和密钥以及这个加密算法以及我们的有效期，最终产生一个签字后的证书。啊，最终产生一个签字后的证书，这个签字后的证书叫CRT。是由。证书和密钥，以及加密算法和时间等等。既然我们刚才的那个证书里就包含国家、地区、城市这些信息，那我们这个签字证书里边也包含，因为这个签字证书是由证书。产生的，所以说。他们是一脉相承的，那他们是一脉相承相承的。

我们来，嗯。我们的这个。签字证书转换下。好了，我们来二杠L一下我们的VSFTP。的文件，OK。这个时候我们的。密钥文件。证书文件和。签字证书给你就都有了。啊，亲字宠都要。好了，完事之后呢。注意下边有两个红色的信息需要看一下，注意一、生成完密钥和证书文件后，将本目录，然后目录etcsl secrets，这个目录的权限改为500，这个是必须要改的。啊，这个是必须要改的。OK，用我们的MODE500当前目录就可以了。改成500500啥权限，我们来看一下。S-LD当前目录。500就是只对当前目录。进来和读取权限，也就是说只能进来看看里边有哪些文件，但是不能新建文件，不能删除文件，因为对目录没有W权限之后，就不能在这个目录下创建新文件以及删除文件。

明白这意思吧。好了。接下来。第二个是在实验环境中可以使用命令来生成，也就是说我们现在就是测试环境去通过这三个命令来生成，但是在生产环境中必须找我们的什么证书厂商去注册。必须找专专门的证书厂商去注册，就是C服务器厂商去注册，否则对应的浏览器是不识别的啊。浏览器不识别是这个意思，大家要注意一下。好了，我们的第二个步骤，嗯。第三个步骤生成。密钥证书搞定了，接下来我们要让VSFTPD这个软件认识我们的这个就是。的密钥文件啊，正式文件和加密证书文件，也就是说让它识别和调用。怎么搞啊？配置文件里边修改就以了，只要把这些信息加进去就可以了，那这些呢，我们来简单来看一下，首先第一个是SL na宝，就是开启SSL加密，呃，认证的这么一个开关。其次。

SL-TLSV1SV2SV3YES，支持我们SS。L的哪些版本啊？三个版本都支持，最早SSL的第一个版本叫TRS，后边叫SSVVV都有。然后呢，接下来是使一些开关了啊。首先。这三个是一起的。Alone，允许。Annoy匿名的Excel允许匿名或使用什么这种？证书加密，OK。允许你。这个地方我用花括号、大括号圈了一个虚拟用户。OK，需要说一下啊，在讲虚拟用户的时候，我给大家提到过，虚拟用户当中用到的选项是。

什么什么什么等信息等于ES等于no之类的。因为虚拟用户默认的选项用的就是匿名用户的选项，所以这个地方我们如果是along annoy什么什么的话，那相当于既允许匿名的，也允许虚拟用户。很好理解啊OK，那接下来看一下后边。Boss强制的。强制要求，强制要求匿名用户。怎么了？Log in log in指的是登录date date指的是数据。那就是数据传输的意思了。强制要求我们的匿名用户和虚拟用户。在进行登录和文件传输时都使用SSL。Yes。啊，Yes OK，这是要求我们的。匿名和用户。SSL加密传输。并且。不管是登录还是摄入，都要使用加密，OK。好了，再一个就是下边的信息。

信息。False。F。Local login local data啥意思啊？就是要求我们的本地用户在进行登录和数据传输时也必须使用SL强制要求好了。最后我们看最后这两行。一个是什么呢？一个是RS file。Crs file。CRT文件就是我们的签字后的证书。签字后的证书，Rsa格式的签字后的证书，而r sa这个private k file指的是什么？我们的私要问你。我们的VSFTP在接到了经过证书加密之后的内容之后，会通过密钥给你解密，OK，所以说VSFTP也得知道密钥文件在哪。我不光得客户端请求我时，我把它给客户端，我还要拿着这个密钥文件来解客户端发过来的密文啊。

所以说密钥文件和签字后的证书文件都要知道在哪。密钥文件要在配置文件中单独声明。写入配置文件时。注释要单独一行。否则会报错这个地方，我为啥呃。的格式是。你看这个绿色的注释内容都是单独一行，而不像原来似的，你看都写到后边。原因就是。在FTP这个配置文件里边。它的注释不允许直接在某选项后边。啊，不允许直接在木樨后边，必须是另起一行注释，否则会报错啊，否则会报错。好，我们把这些信息啊复制一下。写入到我们的，嗯。VSFTP的配置文件里面。ETC写的VSFTPD。OK，找到我们的配置文件。

在最后边加就可以了。我们把该开启的都开启一下。由于是复制过来的。它有很多东西是。帮我们这个注释掉了啊。开启一下。当然。嗯，除了这个东西之外，还有一个需要说明一下，就是不允许有空格。选项后边啊，就是尽量不要用空格，用空格有的时候也会有影响的，就是关于这种。配置文件里边的注意事项大家记住，就是注释尽量另起一行，而一个选项结尾处尽量不要有额外的空格。因为它有可能会把空格识别是一是一个字符串啊。所以大家一定要注意这个事儿啊。好了，当我们把这些信息啊复制过来之后啊，并且检查一下刚才我们存放这个文件的位置，是不是这etcsl secrets下的这种。

这个模块这个没有问题，文件名一致。保存退出一下。当我们把这些信息保存并退出之后呢，我们需要来重启一下FTP服务器，然后再来测试才可以。了，在测之前我们先让我们的服务器断掉啊，断开一下。先来清除历史记录。并且。然后我们一会再来测啊，先来重启服务器。找到服务器端ER Vs FT pd。Rest。注意啊，这个时候如果你的配置文件里边写错内容了，你的重启会报错的啊。比如说我给大家简单演示一下。比如说我在。

就在这个K这个位置吧。我加一个空格试试，你们看一下会不会报错啊。空格还没有问题，我们看一下那个我说的这个。注释另起一行这个问题啊，比如说。把这个注释。对。就错了。所以说这个地方一定要071号。啊，一定类型哈，这个地方一定要注意啊，OK。整齐一下。好了，我们来测一下，测之前啊，我们先来这。抓包上先让它抓上包先。跟单号TCP。好了，又开始抓包了，然后我们来操。嗯。幺九二点儿幺六八点儿八。88.10注意啊，这个地方啊，可以直接在这填，为啥呢？因为现在这个客户端软件很智能，如果是你填好信息默认快速连接时，它会先检查是否要使用加密方式连接，比如说他优先会检查是否加密连接，如果是有加密，那就是能。

直接连接。如果是不加密。他就告诉你这个传说是铭文的，就是就是一开始咱测网就是它会提示你这是铭文传输啊，不安全之类的，当然你也可以刻意的去填写成一个，呃。加密的，比如说我们FB传输协议，然后呢，用的是192.168.88.10，端口十二十一，然后呢，如果可用，则会使用显示的fg bots这种东西，那我们就可以直接直接要求是显示的，要求显示的就必须使用加密传输可以的，然后登录方式呢正常就可以了，我们可以写账户名，比如说A1，密码是123456。OK，你看。这个时候我们的这个。

这个file zilla这个工具就会告诉我们一个信息未知的整数。这个服务器的证书未知，请小心验证，以确定该服务器可信任。就是因为我们这个证书是什么，就是因为我们这个政府是不权威的。我们这个证书是不权威的。不是由那个专门的机构颁发的，所以会出现这种问题，但是该有的还是有啊。啊，加密信息类型长度指纹密钥啊。证书的内容，一般组、组织、单位、地区等等全都有，该有的全都有。下面有一个在以后的货中使用，就是将这个证书保存一下啊，这个意思好吧。啊，我们现在这个就连上了，我们再来看一下啊，我们这个就暂停了。我们来去找一下啊，去找一下。

从他开始抓包，开始找。好了，这是从开始抓包开始找啊。还是找us？还是找1USER。那是证书信息啊。还是找我们的user。哎，其实如果我们能把这个内容啊，这个保存下来，我们通过grab查询的方式才比较简单一些啊，这样一点点找比较麻烦啊。使用TS的方式。是能找着啊，稍等一下。然后大学的一九者就可以了。

或者先找到place。Log in this user and password那个冠词也行。然后最后还没有。你把这个信息复制出来吧啊。把这个信息复制出来之后，我们来一下。好了，到这就可以了。建立一个文本文件啊。新建一个。

找一下US12。PS。这个里边就没有那个信息了。啊，没有这个信息了，也就是说我们整个登录过程当中，就不会再被别人抓取到对应这个数据包了，比如说。你从这里边儿再想看的账户密码这个信息是看不到的，但是我们的证书信息，证书的相关的部分信息应该是能看到。比如说我们。找一下CN。应该能找到诶。不光CN不CN。At硅谷。3W硅谷点。com。省这些东西是有的，北京等等这是有的。但是密码又没有了。被加密了，被加密了，所以说。当我们使用open s CL结合我们的VSFTP之后呢，我们的VSFTP的一个呃。

这种。传输过程就变成了一个加密的传输过程。所以说就更安全了啊，所以说就更安全了。那这个呢，就是我们的一个关于。我们的op派SL和FTP的这么一个加密传输的一个实验，OK，那么这个实验就到这儿了。下节课再见。