Linus Torvalds 青睐 Rust，并称 C++ 是“一门垃圾语言”

谷歌现在支持用 Rust 来开发安卓操作系统，也在评估将 Rust 用于 Linux 内核的开发。Linux 创始人 Linus Torvalds 对此表示，“目前 Linux 内核对 Rust 的支持还没到位，或许需要等到 5.14 时。”在 Linux 内核中支持 Rust 的第一个补丁已经发布了，已经为之后的支持打好了基础。

而在谈及 C++ 时，Torvalds 说，“C++ 解决不了 C 的任何问题，而且只会让事情变得更糟。它真的是一种垃圾语言。……任何说‘用 C++ 重写内核’的人都太无知了。”

Torvalds 对 C++ 是深恶痛绝的，看来 Rust 有望成为 Torvalds 的新宠，不知道他是不是已经在用 Rust 编程了？

微软正在统一所有平台的 Edge 代码库

当微软推出 PC 上的新的基于 Chromium 的 Edge 浏览器时，它还改变了 iOS 和安卓上的 Edge 浏览器的徽标，让人觉得这是一个统一的新 Edge 家族。但实际情况是，iOS 和安卓上的 Edge 浏览器和 PC 上的并不一样。在 iOS 上，Edge 浏览器目前使用的是 WebKit 渲染引擎，而在安卓上使用的是 Blink 渲染引擎。

而现在，微软正在向安卓的金丝雀测试人员提供一个新 Edge 浏览器的版本：这个版本与 PC 上的新 Edge 有着相同的内核。微软官员表示，他们的目标是让新的 Edge 成为一个真正的跨平台浏览器，基于相同的核心代码库。当然，这不是说手机端的 Edge 浏览器会复制桌面端浏览器每一个功能。

统一代码库当然是不错的，不过对于 iOS ，或许还是得受限于 Apple 政策而不能更换渲染引擎。

FTP 协议诞生五十周年

1971 年 4 月 16 日是 RFC 114 文档的发表日期，它标志着 FTP 协议的诞生。当时 TCP/IP 还不存在，telnet 还很新鲜。后来 FTP 陆续加入了对 TCP/IP 的支持、引入了安全扩展 FTPS、支持 IPv6 等等。

昨天我们报道过，和 Chrome 一样，Firefox 也将要取消浏览器对 FTP 支持。但在 50 年后的今天，互联网上仍然有数百万台 FTP 服务器。

这里面或许有部分原因是 FTP 协议不够安全，但是我觉得更主要是的现在 HTTP 协议已经逐渐取代了 FTP 协议用来分享文件的作用。

LLVM 12 已释出 3 天，但是连发布公告都没写完

LLVM 编译器套装项目是一个已经有 18 年历史的重要项目，其更新也算活跃，在很多方面都已经超过了 GCC。4 月 14 日，LLVM 释出了最新的 12.0.0。主要新特性和变化可以参见发布公告。然而，发布公告还没编写完。

没料到 LLVM 在文档更新方面居然拖拖拉拉的，这是觉得没人看么，还是懂的人自然懂？

Firefox 88 将停止支持 FTP

Mozilla 是在去年宣布它计划从浏览器中移除内置的 FTP 实现。即在 4 月 19 日释出的 Firefox 88 将关闭 FTP 实现，在 Firefox 90 将移除 FTP。在停止支持之后，浏览器将会用外部应用打开 ftp:// 链接。

在 Chrome 之后，Firefox 也将停止支持 FTP 协议。这种老旧的网络协议其实是该逐渐淘汰了，虽然更老的协议如 TFTP 依旧在很狭窄的场景中有使用。

近三万家企业使用的代码覆盖量软件陷入软件供应链黑客事件

Codecov 被认为是科技行业衡量代码覆盖率的首选厂商。该公司的工具可以帮助开发人员了解和测量测试套件执行的代码行数，并被广泛部署在大型科技企业的开发管道中。该公司宣称，有超过 29000 家企业使用其代码覆盖率洞察力来检查代码质量和维护代码覆盖率。

该公司表示，该黑客事件发生在四个月前，但直到 2021 年 4 月 1 日才被 Codecov 的一位客户在野发现。其 Bash Uploader 脚本的被替换版本可能导致任何通过 CI 运行器传递的凭证、令牌或密钥被泄露。

软件行业越来越全球化，形成了一条条供应链，在这个链条中任何一个环节出现的问题，都可能通过链条进行放大。对供应链的管理，需要更有预防和响应机制。

SFTP 意思是“ 安全文件传输协议 Secure File Transfer Protocol ” 或 “ SSH 文件传输协议 SSH File Transfer Protocol ”，它是最常用的用于通过 ssh 将文件从本地系统安全地传输到远程服务器的方法，反之亦然。sftp 的主要优点是，除 openssh-server 之外，我们不需要安装任何额外的软件包，在大多数的 Linux 发行版中，openssh-server 软件包是默认安装的一部分。sftp 的另外一个好处是，我们可以允许用户使用 sftp ，而不允许使用 ssh 。

当前发布的 Debian 10 代号为 ‘Buster’，在这篇文章中，我们将演示如何在 Debian 10 系统中在 “监狱式的” Chroot 环境中配置 sftp。在这里，Chroot 监狱式环境意味着，用户不能超出各自的家目录，或者用户不能从各自的家目录更改目录。下面实验的详细情况：

• OS = Debian 10
• IP 地址 = 192.168.56.151

让我们跳转到 SFTP 配置步骤，

步骤 1、使用 groupadd 命令给 sftp 创建一个组

打开终端，使用下面的 groupadd 命令创建一个名为的 sftp_users 组：

root@linuxtechi:~# groupadd sftp_users

步骤 2、添加用户到组 sftp\_users 并设置权限

假设你想创建新的用户，并且想添加该用户到 sftp_users 组中，那么运行下面的命令，

语法：

#  useradd -m -G sftp_users <用户名>

让我们假设用户名是 jonathan：

root@linuxtechi:~# useradd -m -G sftp_users jonathan

使用下面的 chpasswd 命令设置密码：

root@linuxtechi:~# echo "jonathan:<输入密码>" | chpasswd

假设你想添加现有的用户到 sftp_users 组中，那么运行下面的 usermod 命令，让我们假设已经存在的用户名称是 chris：

root@linuxtechi:~# usermod -G sftp_users chris

现在设置用户所需的权限：

root@linuxtechi:~# chown root /home/jonathan /home/chris/

在各用户的家目录中都创建一个上传目录，并设置正确地所有权：

root@linuxtechi:~# mkdir /home/jonathan/upload
root@linuxtechi:~# mkdir /home/chris/upload
root@linuxtechi:~# chown jonathan /home/jonathan/upload
root@linuxtechi:~# chown chris /home/chris/upload

注意: 像 Jonathan 和 Chris 之类的用户可以从他们的本地系统上传文件和目录。

步骤 3、编辑 sftp 配置文件 /etc/ssh/sshd\_config

正如我们已经陈述的，sftp 操作是通过 ssh 完成的，所以它的配置文件是 /etc/ssh/sshd_config，在做任何更改前，我建议首先备份文件，然后再编辑该文件，接下来添加下面的内容：

root@linuxtechi:~# cp /etc/ssh/sshd_config /etc/ssh/sshd_config-org
root@linuxtechi:~# vim /etc/ssh/sshd_config
......
#Subsystem      sftp    /usr/lib/openssh/sftp-server
Subsystem       sftp    internal-sftp

Match Group sftp_users
  X11Forwarding no
  AllowTcpForwarding no
  ChrootDirectory %h
  ForceCommand internal-sftp
......

保存并退出文件。

为使上述更改生效，使用下面的 systemctl 命令来重新启动 ssh 服务：

root@linuxtechi:~# systemctl restart sshd

在上面的 sshd_config 文件中，我们已经注释掉了以 Subsystem 开头的行，并添加了新的条目 Subsystem sftp internal-sftp 和新的行。而

Match Group sftp_users –> 它意味着如果用户是 sftp_users 组中的一员，那么将应用下面提到的规则到这个条目。

ChrootDierctory %h –> 它意味着用户只能在他们自己各自的家目录中更改目录，而不能超出他们各自的家目录。或者换句话说，我们可以说用户是不允许更改目录的。他们将在他们的目录中获得监狱一样的环境，并且不能访问其他用户的目录和系统的目录。

ForceCommand internal-sftp –> 它意味着用户仅被限制到只能使用 sftp 命令。

步骤 4、测试和验证 sftp

登录到你的 sftp 服务器的同一个网络上的任何其它的 Linux 系统，然后通过我们放入 sftp_users 组中的用户来尝试 ssh 和 sftp 服务。

[root@linuxtechi ~]# ssh root@linuxtechi
root@linuxtechi's password:
Write failed: Broken pipe
[root@linuxtechi ~]# ssh root@linuxtechi
root@linuxtechi's password:
Write failed: Broken pipe
[root@linuxtechi ~]#

以上操作证实用户不允许 ssh ，现在使用下面的命令尝试 sftp：

[root@linuxtechi ~]# sftp root@linuxtechi
root@linuxtechi's password:
Connected to 192.168.56.151.
sftp> ls -l
drwxr-xr-x    2 root     1001         4096 Sep 14 07:52 debian10-pkgs
-rw-r--r--    1 root     1001          155 Sep 14 07:52 devops-actions.txt
drwxr-xr-x    2 1001     1002         4096 Sep 14 08:29 upload

让我们使用 sftp 的 get 命令来尝试下载一个文件：

sftp> get devops-actions.txt
Fetching /devops-actions.txt to devops-actions.txt
/devops-actions.txt                                                                               100%  155     0.2KB/s   00:00
sftp>
sftp> cd /etc
Couldn't stat remote file: No such file or directory
sftp> cd /root
Couldn't stat remote file: No such file or directory
sftp>

上面的输出证实我们能从我们的 sftp 服务器下载文件到本地机器，除此之外，我们也必须测试用户不能更改目录。

让我们在 upload 目录下尝试上传一个文件：

sftp> cd upload/
sftp> put metricbeat-7.3.1-amd64.deb
Uploading metricbeat-7.3.1-amd64.deb to /upload/metricbeat-7.3.1-amd64.deb
metricbeat-7.3.1-amd64.deb                                                                        100%   38MB  38.4MB/s   00:01
sftp> ls -l
-rw-r--r--    1 1001     1002     40275654 Sep 14 09:18 metricbeat-7.3.1-amd64.deb
sftp>

这证实我们已经成功地从我们的本地系统上传一个文件到 sftp 服务中。

现在使用 winscp 工具来测试 sftp 服务，输入 sftp 服务器 IP 地址和用户的凭证：

在 “Login” 上单击，然后尝试下载和上传文件：

现在，在 upload 文件夹中尝试上传文件：

上面的窗口证实上传是完好地工作的，这就是这篇文章的全部。如果这些步骤能帮助你在 Debian 10 中使用 chroot 环境配置 SFTP 服务器s，那么请分享你的反馈和评论。

via: https://www.linuxtechi.com/configure-sftp-chroot-debian10/

作者：Pradeep Kumar 选题：lujun9972 译者：robsean 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

FTP（文件传输协议）是一种用于通过网络在服务器和客户端之间传输文件的传统并广泛使用的标准工具，特别是在不需要身份验证的情况下（允许匿名用户连接到服务器）。我们必须明白，默认情况下 FTP 是不安全的，因为它不加密传输用户凭据和数据。

在本指南中，我们将介绍在 CentOS/RHEL7 和 Fedora 发行版中安装、配置和保护 FTP 服务器（ VSFTPD 代表 “Very Secure FTP Daemon”）的步骤。

请注意，本指南中的所有命令将以 root 身份运行，如果你不使用 root 帐户操作服务器，请使用 sudo命令 获取 root 权限。

步骤 1：安装 FTP 服务器

1、 安装 vsftpd 服务器很直接，只要在终端运行下面的命令。

# yum install vsftpd

2、 安装完成后，服务先是被禁用的，因此我们需要手动启动，并设置在下次启动时自动启用：

# systemctl start vsftpd
# systemctl enable vsftpd

3、 接下来，为了允许从外部系统访问 FTP 服务，我们需要打开 FTP 守护进程监听的 21 端口：

# firewall-cmd --zone=public --permanent --add-port=21/tcp
# firewall-cmd --zone=public --permanent --add-service=ftp
# firewall-cmd --reload

步骤 2： 配置 FTP 服务器

4、 现在，我们会进行一些配置来设置并加密我们的 FTP 服务器，让我们先备份一下原始配置文件 /etc/vsftpd/vsftpd.conf：

# cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.orig

接下来，打开上面的文件，并将下面的选项设置相关的值：

anonymous_enable=NO             ### 禁用匿名登录
local_enable=YES        ### 允许本地用户登录
write_enable=YES        ### 允许对文件系统做改动的 FTP 命令
local_umask=022             ### 本地用户创建文件所用的 umask 值
dirmessage_enable=YES           ### 当用户首次进入一个新目录时显示一个消息
xferlog_enable=YES      ### 用于记录上传、下载细节的日志文件
connect_from_port_20=YES        ### 使用端口 20 （ftp-data）用于 PORT 风格的连接
xferlog_std_format=YES          ### 使用标准的日志格式
listen=NO               ### 不要让 vsftpd 运行在独立模式
listen_ipv6=YES             ### vsftpd 将监听 IPv6 而不是 IPv4
pam_service_name=vsftpd         ###  vsftpd 使用的 PAM 服务名
userlist_enable=YES             ### vsftpd 支持载入用户列表
tcp_wrappers=YES        ### 使用 tcp wrappers

5、 现在基于用户列表文件 /etc/vsftpd.userlist 来配置 FTP 来允许/拒绝用户的访问。

默认情况下，如果设置了 userlist_enable=YES，当 userlist_deny 选项设置为 YES 的时候，userlist_file=/etc/vsftpd.userlist 中列出的用户被拒绝登录。

然而， 更改配置为 userlist_deny=NO，意味着只有在 userlist_file=/etc/vsftpd.userlist 显式指定的用户才允许登录。

userlist_enable=YES                   ### vsftpd 将从 userlist_file 给出的文件中载入用户名列表
userlist_file=/etc/vsftpd.userlist    ### 存储用户名的文件
userlist_deny=NO   

这并不是全部，当用户登录到 FTP 服务器时，它们会进入 chroot jail 中，这是仅作为 FTP 会话主目录的本地根目录。

接下来，我们将介绍如何将 FTP 用户 chroot 到 FTP 用户的家目录（本地 root）中的两种可能情况，如下所述。

6、 接下来添加下面的选项来限制 FTP 用户到它们自己的家目录。

chroot_local_user=YES
allow_writeable_chroot=YES

chroot_local_user=YES 意味着用户可以设置 chroot jail，默认是登录后的家目录。

同样默认的是，出于安全原因，vsftpd 不会允许 chroot jail 目录可写，然而，我们可以添加 allow_writeable_chroot=YES 来覆盖这个设置。

保存并关闭文件。

步骤 3： 用 SELinux 加密 FTP 服务器

7、现在，让我们设置下面的 SELinux 布尔值来允许 FTP 能读取用户家目录下的文件。请注意，这原本是使用以下命令完成的：

# setsebool -P ftp_home_dir on

然而，由于这个 bug 报告：https://bugzilla.redhat.com/show_bug.cgi?id=1097775，ftp_home_dir 指令默认是禁用的。

现在，我们会使用 semanage 命令来设置 SELinux 规则来允许 FTP 读取/写入用户的家目录。

# semanage boolean -m ftpd_full_access --on

这时，我们需要重启 vsftpd 来使目前的设置生效：

# systemctl restart vsftpd

步骤 4： 测试 FTP 服务器

8、 现在我们会用 useradd 命令创建一个 FTP 用户来测试 FTP 服务器。

# useradd -m -c “Ravi Saive, CEO” -s /bin/bash ravi
# passwd ravi

之后，我们如下使用 echo 命令添加用户 ravi 到文件 /etc/vsftpd.userlist 中：

# echo "ravi" | tee -a /etc/vsftpd.userlist
# cat /etc/vsftpd.userlist

9、 现在是时候测试我们上面的设置是否可以工作了。让我们使用匿名登录测试，我们可以从下面的截图看到匿名登录没有被允许。

# ftp 192.168.56.10
Connected to 192.168.56.10  (192.168.56.10).
220 Welcome to TecMint.com FTP service.
Name (192.168.56.10:root) : anonymous
530 Permission denied.
Login failed.
ftp>

测试 FTP 匿名登录

10、 让我们也测试一下没有列在 /etc/vsftpd.userlist 中的用户是否有权限登录，下面截图是没有列入的情况：

# ftp 192.168.56.10
Connected to 192.168.56.10  (192.168.56.10).
220 Welcome to TecMint.com FTP service.
Name (192.168.56.10:root) : aaronkilik
530 Permission denied.
Login failed.
ftp>

FTP 用户登录失败

11、 现在最后测试一下列在 /etc/vsftpd.userlist 中的用户是否在登录后真的进入了他/她的家目录：

# ftp 192.168.56.10
Connected to 192.168.56.10  (192.168.56.10).
220 Welcome to TecMint.com FTP service.
Name (192.168.56.10:root) : ravi
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls

用户成功登录

警告：使用 allow_writeable_chroot=YES 有一定的安全隐患，特别是用户具有上传权限或 shell 访问权限时。

只有当你完全知道你正做什么时才激活此选项。重要的是要注意，这些安全性影响并不是 vsftpd 特定的，它们适用于所有提供了将本地用户置于 chroot jail 中的 FTP 守护进程。

因此，我们将在下一节中看到一种更安全的方法来设置不同的不可写本地根目录。

步骤 5： 配置不同的 FTP 家目录

12、 再次打开 vsftpd 配置文件，并将下面不安全的选项注释掉：

#allow_writeable_chroot=YES

接着为用户（ravi，你的可能不同）创建另外一个替代根目录，并将所有用户对该目录的可写权限移除：

# mkdir /home/ravi/ftp
# chown nobody:nobody /home/ravi/ftp
# chmod a-w /home/ravi/ftp

13、 接下来，在用户存储他/她的文件的本地根目录下创建一个文件夹：

# mkdir /home/ravi/ftp/files
# chown ravi:ravi  /home/ravi/ftp/files
# chmod 0700 /home/ravi/ftp/files/

接着在 vsftpd 配置文件中添加/修改这些选项：

user_sub_token=$USER         ### 在本地根目录下插入用户名
local_root=/home/$USER/ftp   ### 定义任何用户的本地根目录

保存并关闭文件。再说一次，有新的设置后，让我们重启服务：

# systemctl restart vsftpd

14、 现在最后在测试一次查看用户本地根目录就是我们在他的家目录创建的 FTP 目录。

# ftp 192.168.56.10
Connected to 192.168.56.10  (192.168.56.10).
220 Welcome to TecMint.com FTP service.
Name (192.168.56.10:root) : ravi
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls

FTP 用户家目录登录成功

就是这样了！在本文中，我们介绍了如何在 CentOS 7 中安装、配置以及加密的 FTP 服务器，使用下面的评论栏给我们回复，或者分享关于这个主题的任何有用信息。

建议阅读： 在 RHEL/CentOS 7 上安装 ProFTPD 服务器

在下一篇文章中，我们还将向你介绍如何在 CentOS 7 中保护使用 SSL/TLS连接的 FTP 服务器，再此之前，请继续关注 TecMint。

作者简介：

Aaron Kili 是一名 Linux 和 F.O.S.S 爱好者，即将从事 Linux 系统管理员和网页开发工作，他日前是 TecMint 技术网站的原创作者，非常喜欢使用电脑工作，坚信分享知识是一种美德。

via: http://www.tecmint.com/install-ftp-server-in-centos-7/

作者：Aaron Kili 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在一开始的设计中，FTP（文件传输协议）就是不安全的，意味着它不会加密两台机器之间传输的数据以及用户的凭据。这使得数据和服务器安全面临很大威胁。

在这篇文章中，我们会介绍在 CentOS/RHEL 7 以及 Fedora 中如何在 FTP 服务器中手动启用数据加密服务；我们会介绍使用 SSL/TLS 证书保护 VSFTPD（Very Secure FTP Daemon）服务的各个步骤。

前提条件：

• 你必须已经在 CentOS 7 中安装和配置 FTP 服务 。

在我们开始之前，要注意本文中所有命令都以 root 用户运行，否则，如果现在你不是使用 root 用户控制服务器，你可以使用 sudo 命令 去获取 root 权限。

第一步：生成 SSL/TLS 证书和密钥

1、 我们首先要在 /etc/ssl 目录下创建用于保存 SSL/TLS 证书和密钥文件的子目录：

# mkdir /etc/ssl/private

2、 然后运行下面的命令为 vsftpd 创建证书和密钥并保存到一个文件中，下面会解析使用的每个选项。

1. req - 是 X.509 Certificate Signing Request （CSR，证书签名请求）管理的一个命令。
2. x509 - X.509 证书数据管理。
3. days - 定义证书的有效日期。
4. newkey - 指定证书密钥处理器。
5. rsa:2048 - RSA 密钥处理器，会生成一个 2048 位的密钥。
6. keyout - 设置密钥存储文件。
7. out - 设置证书存储文件，注意证书和密钥都保存在一个相同的文件：/etc/ssl/private/vsftpd.pem。

# openssl req -x509 -nodes -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem -days 365 -newkey rsa:2048

上面的命令会让你回答以下的问题，记住使用你自己情况的值。

Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:Lower Parel
Locality Name (eg, city) [Default City]:Mumbai
Organization Name (eg, company) [Default Company Ltd]:TecMint.com
Organizational Unit Name (eg, section) []:Linux and Open Source
Common Name (eg, your name or your server's hostname) []:tecmint
Email Address []:[email protected]

第二步：配置 VSFTPD 使用 SSL/TLS

3、 在我们进行任何 VSFTPD 配置之前，首先开放 990 和 40000-50000 端口，以便在 VSFTPD 配置文件中分别定义 TLS 连接的端口和被动端口的端口范围：

# firewall-cmd --zone=public --permanent --add-port=990/tcp
# firewall-cmd --zone=public --permanent --add-port=40000-50000/tcp
# firewall-cmd --reload

4、 现在，打开 VSFTPD 配置文件并在文件中指定 SSL 的详细信息：

# vi /etc/vsftpd/vsftpd.conf

找到 ssl_enable 选项把它的值设置为 YES 激活使用 SSL，另外，由于 TSL 比 SSL 更安全，我们会使用 ssl_tlsv1_2 选项让 VSFTPD 使用更严格的 TLS：

ssl_enable=YES
ssl_tlsv1_2=YES
ssl_sslv2=NO
ssl_sslv3=NO

5、 然后，添加下面的行来定义 SSL 证书和密钥文件的位置：

rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem

6、 下面，我们要阻止匿名用户使用 SSL，然后强制所有非匿名用户登录使用安全的 SSL 连接进行数据传输和登录过程中的密码发送：

allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES

7、 另外，我们还可以添加下面的选项增强 FTP 服务器的安全性。当选项 require_ssl_reuse 被设置为 YES 时，要求所有 SSL 数据连接都会重用 SSL 会话；这样它们会知道控制通道的主密码。

因此，我们需要把它关闭。

require_ssl_reuse=NO

另外，我们还要用 ssl_ciphers 选项选择 VSFTPD 允许用于加密 SSL 连接的 SSL 算法。这可以极大地限制那些尝试发现使用存在缺陷的特定算法的攻击者：

ssl_ciphers=HIGH

8、 现在，设置被动端口的端口范围（最小和最大端口）。

pasv_min_port=40000
pasv_max_port=50000

9、 选择性启用 debug_ssl 选项以允许 SSL 调试，这意味着 OpenSSL 连接诊断会被记录到 VSFTPD 日志文件：

debug_ssl=YES

保存所有更改并关闭文件。然后让我们重启 VSFTPD 服务：

# systemctl restart vsftpd

第三步：用 SSL/TLS 连接测试 FTP 服务器

10、 完成上面的所有配置之后，像下面这样通过在命令行中尝试使用 FTP 测试 VSFTPD 是否使用 SSL/TLS 连接：

# ftp 192.168.56.10
Connected to 192.168.56.10  (192.168.56.10).
220 Welcome to TecMint.com FTP service.
Name (192.168.56.10:root) : ravi
530 Non-anonymous sessions must use encryption.
Login failed.
421 Service not available, remote server has closed connection
ftp>

验证 FTP SSL 安全连接

从上面的截图中，我们可以看到这里有个错误提示我们 VSFTPD 只允许用户从支持加密服务的客户端登录。

命令行并不会提供加密服务因此产生了这个错误。因此，为了安全地连接到服务器，我们需要一个支持 SSL/TLS 连接的 FTP 客户端，例如 FileZilla。

第四步：安装 FileZilla 以便安全地连接到 FTP 服务器

11、 FileZilla 是一个现代化、流行且重要的跨平台的 FTP 客户端，它默认支持 SSL/TLS 连接。

要在 Linux 上安装 FileZilla，可以运行下面的命令：

--------- On CentOS/RHEL/Fedora --------- 
# yum install epel-release filezilla
--------- On Debian/Ubuntu ---------
$ sudo apt-get install  filezilla   

12、 当安装完成后（或者你已经安装了该软件），打开它，选择 File => Sites Manager 或者按 Ctrl + S 打开 Site Manager 界面。

点击 New Site 按钮添加一个新的站点/主机连接详细信息。

在 FileZilla 中添加新 FTP 站点

1. 下一步，像下面这样设置主机/站点名称、添加 IP 地址、定义使用的协议、加密和登录类型（使用你自己情况的值）：

Host:  192.168.56.10
Protocol:  FTP – File Transfer Protocol
Encryption:  Require explicit FTP over   #recommended 
Logon Type: Ask for password            #recommended 
User: username

在 Filezilla 中添加 FTP 服务器详细信息

14、 然后点击 Connect，再次输入密码，然后验证用于 SSL/TLS 连接的证书，再一次点击 OK 连接到 FTP 服务器：

验证 FTP SSL 证书

到了这里，我们应该使用 TLS 连接成功地登录到了 FTP 服务器，在下面的界面中检查连接状态部分获取更多信息。

通过 TLS/SSL 连接到 FTP 服务器

15、 最后，在文件目录尝试 从本地传输文件到 FTP 服务器，看 FileZilla 界面后面的部分查看文件传输相关的报告。

使用 FTP 安全地传输文件

就是这些。记住 FTP 默认是不安全的，除非我们像上面介绍的那样配置它使用 SSL/TLS 连接。在下面的评论框中和我们分享你关于这篇文章/主题的想法吧。

作者简介：

Aaron Kili 是一个 Linux 和 F.O.S.S 的爱好者，Linux 系统管理员，网络开发员，目前也是 TecMint 的内容创作者，他喜欢和电脑一起工作，并且坚信共享知识。

via: http://www.tecmint.com/secure-vsftpd-using-ssl-tls-on-centos/

作者：Aaron Kili 译者：ictlyh 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

SSH 文件传输协议 SSH File transfer protocol （SFTP）也称为 通过安全套接层的文件传输协议 File Transfer protocol via Secure Socket Layer ， 以及 FTPS 都是最常见的安全 FTP 通信技术，用于通过 TCP 协议将计算机文件从一个主机传输到另一个主机。SFTP 和 FTPS 都提供高级别文件传输安全保护，通过强大的算法（如 AES 和 Triple DES）来加密传输的数据。

但是 SFTP 和 FTPS 之间最显着的区别是如何验证和管理连接。

FTPS

FTPS 是使用安全套接层（SSL）证书的 FTP 安全技术。整个安全 FTP 连接使用用户 ID、密码和 SSL 证书进行身份验证。一旦建立 FTPS 连接，FTP 客户端软件将检查目标 FTP 服务器证书是否可信的。

如果证书由已知的证书颁发机构（CA）签发，或者证书由您的合作伙伴自己签发，并且您的信任密钥存储区中有其公开证书的副本，则 SSL 证书将被视为受信任的证书。FTPS 所有的用户名和密码信息将通过安全的 FTP 连接加密。

以下是 FTPS 的优点和缺点：

优点：

• 通信可以被人们读取和理解
• 提供服务器到服务器文件传输的服务
• SSL/TLS 具有良好的身份验证机制（X.509 证书功能）
• FTP 和 SSL 支持内置于许多互联网通信框架中

缺点：

• 没有统一的目录列表格式
• 需要辅助数据通道（DATA），这使得难以通过防火墙使用
• 没有定义文件名字符集（编码）的标准
• 并非所有 FTP 服务器都支持 SSL/TLS
• 没有获取和更改文件或目录属性的标准方式

SFTP

SFTP 或 SSH 文件传输协议是另一种安全的安全文件传输协议，设计为 SSH 扩展以提供文件传输功能，因此它通常仅使用 SSH 端口用于数据传输和控制。当 FTP 客户端软件连接到 SFTP 服务器时，它会将公钥传输到服务器进行认证。如果密钥匹配，提供任何用户/密码，身份验证就会成功。

以下是 SFTP 优点和缺点：

优点：

• 只有一个连接（不需要 DATA 连接）。
• FTP 连接始终保持安全
• FTP 目录列表是一致的和机器可读的
• FTP 协议包括操作权限和属性操作，文件锁定和更多的功能。

缺点：

• 通信是二进制的，不能“按原样”记录下来用于人类阅读，
• SSH 密钥更难以管理和验证。
• 这些标准定义了某些可选或推荐的选项，这会导致不同供应商的不同软件之间存在某些兼容性问题。
• 没有服务器到服务器的复制和递归目录删除操作
• 在 VCL 和 .NET 框架中没有内置的 SSH/SFTP 支持。

对比

大多数 FTP 服务器软件这两种安全 FTP 技术都支持，以及强大的身份验证选项。

但 SFTP 显然是赢家，因为它适合防火墙。SFTP 只需要通过防火墙打开一个端口（默认为 22）。此端口将用于所有 SFTP 通信，包括初始认证、发出的任何命令以及传输的任何数据。

FTPS 通过严格安全的防火墙相对难以实现，因为 FTPS 使用多个网络端口号。每次进行文件传输请求（get，put）或目录列表请求时，需要打开另一个端口号。因此，必须在您的防火墙中打开一系列端口以允许 FTPS 连接，这可能是您的网络的安全风险。

支持 FTPS 和 SFTP 的 FTP 服务器软件：

1. Cerberus FTP 服务器
2. FileZilla - 最著名的免费 FTP 和 FTPS 服务器软件
3. Serv-U FTP 服务器

via: http://www.techmixer.com/ftps-sftp/

作者：Techmixer.com 译者：Yuan0302 校对：jasminepeng

本文由 LCTT 原创编译，Linux中国 荣誉推出