FTP 是 File Transfer Protocol （文件传输协议）的简称，用于在 Internet 上控制文件的双向传输。作为很古老的一种文件传输协议，简单的服务器搭建和丰富的客户端支持是它的优势，但安全性却是它很大的一个软肋。（在建立连接时使用明文传输用户名和密码等重要信息）

一、安全性测试

1. 安装 ftp 服务：

ubuntu 16.04 可以使用包管理器直接安装 vsftpd 以建立 ftp 服务器。
$ sudo apt-get install vsftpd

vsftpd 的配置文件为 /etc/vsftpd.conf，默认即开启了本地用户（local_enable=YES）的登录和下载权限，可以直接使用。如需使用上传功能，可以将配置文件中 #write_enable=YES 前面的注释去掉。
因为主要是测试安全性，其他配置选项暂不做改动。

2. 使用 wireshark 抓包

Wireshark 是一个功能强大的网络抓包和分析工具。这里使用它来对 FTP 客户端与服务器之间的数据交换进行监控。
因为 Ubuntu 服务器安装在 virtualbox 虚拟机中，联网使用的是 Host-only 模式，所以抓包时监控的是 vboxnet0 虚拟网卡。

ftp 明文传输密码

可以看到，FTP 的用户名和密码都是使用明文传输的，可以直接被看到。

3. 更安全的 SFTP 服务

SFTP 是 Secure File Transfer Protocol （安全文件传送协议）的缩写，包含在 ssh 服务中。Ubuntu 16.04 系统中，配置好 ssh 服务后，sftp 服务即默认开启。
需要注意的是，sftp 使用了加密、解密技术，所以传输效率比普通的FTP要低得多。

可以使用 sudo apt-get openssh-server 命令安装 ssh 服务，如 sftp 服务未默认开启，可以编辑 sshd 配置文件：/etc/ssh/sshd_config，添加上 Subsystem sftp /usr/lib/openssh/sftp-server。

使用 sftp 服务时的抓包截图：

sftp 抓包截图

二、搭建安全的 FTPS 服务

这里要详细说明的是另外一种解决方案，使用 SSL/TLS 对 FTP 的数据传输进行加密。关于 SFTP 与 FTPS 的之间的对比，建议参考此文章：FTPS (FTP over SSL) vs SFTP (SSH File Transfer Protocol)。

1. 创建证书

FTPS 是使用安全套接层（SSL）证书的 FTP 技术，也就是使用用户 ID、密码和 SSL 证书进行身份验证。
$ sudo openssl req -x509 -nodes -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem -days 365 -newkey rsa:2048
上面的命令用于生成证书和 key 并保存在 vsftpd.pem 文件中。
运行后会提示你输入相关信息（可以随便填写，不要留空）：

Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:hangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:section
Common Name (e.g. server FQDN or YOUR name) []:starky
Email Address []:starky@email.com

生成证书

2. 修改配置文件

如果你有开启 ufw 防火墙（默认是未开启的），需要先在防火墙配置中开放指定端口用于通讯和数据传输。

$ sudo ufw allow 990/tcp
$ sudo ufw allow 4000:5000/tcp

我这里没有开启 ufw ，所以不需要以上操作。直接修改 vsftpd 的配置文件（$ sudo vim /etc/vsftpd.conf）。将文件中的对应配置做如下修改（没有就添加）：

# 开启 ssl 并指定使用的协议
ssl_enable=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
# 指定证书和 key 文件
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
# 安全选项
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
require_ssl_reuse=NO
ssl_ciphers=HIGH
# 指定主动模式时使用的端口范围
pasv_min_port=40000
pasv_max_port=50000

修改完成后重启 vsftpd 服务：$ sudo systemctl restart vsftpd

三、连接验证

客户端使用 filezilla 连接服务器，新建站点时使用如下配置：

Host:  192.168.56.102
Protocol:  FTP – File Transfer Protocol
Encryption:  Require explicit FTP over TLS
Logon Type:  Ask for password
User:  username

filezilla

连接成功界面

ftps 抓包

参考文章

Setting Up a Secure FTP Server using SSL/TLS on Ubuntu
关于 vsftpd 配置文件的详细解释可参考：Vsftpd - Ubuntu中文