FTPサーバ(ProFTPD)の構築

FTPサーバは、RedHat組み込みのwu-ftpdはいろいろ問題が多いようなのと、他のディストリビューションで採用されていること、設定がApacheに似ていて分かり易そうなことから、ProFTPDでいくことにしました。

このデーモンは、設定でNATルータ越えでPASVモ－ドでのFTPサービスの提供ができます。PASVモードでのNATルータ越えのインターネット公開の設定や、FTPサーバの公開、サーバ公開のための設定も参考にしてください。

ProFTPDは、比較的簡単にrpmを作成できるようなので、管理を簡単にするためrpmを作ってからインストールすることにしました。

ソースからインストールする方法については、こちらを参照願います。

1.2.8RC1以降、転送量制御のディレクティブが変更になっているので、追記しました。

ProFTPD1.2.10rc1から「NLST」のオプション指定が未サポートになり、FFFTPなどではデフォルトのままではファイル一覧が取得できないので注意が必要です。これはRFC959に基づく変更であり、クライアントの設定を変更して「LIST」コマンドでファイル一覧を取得するようにすれば大丈夫です。

なお、このままではドットファイルが見えなくなるので、見せる必要があるなら、「ListOptions」ディレクティブを　「ListOptions "-a"」のように、proftpd.conf に追記してください。

Timing attack対策 (mod_delayの組み込み) を追加しました。

■ProFTPDのダウンロードとRPMの作成

作業は、いたって簡単です。ここでは、SSL/TLS対応でRPMを作成することにしますが、SSL/TLSを使用しない場合は設定をしなければ良いだけです。おやじが作成したRPM(RedHat 8/9用)をダウンロードに置いておきますので、面倒な方は利用してください。

まずは、作業ディレクトリ(いつもの/usr/local/src)に移動して、ProFTPDを本家のこちらからダウンロードして解凍する。(おやじがダウンロードしたのは、proftpd-1.2.9.tar.bz2。)

# cd /usr/local/src
# wget ftp://ftp.proftpd.org/distrib/source/proftpd-1.2.9.tar.bz2
# tar -jxf proftpd-1.2.9.tar.bz2
解凍してできたspecファイルとソースをRedHatのRPM作成環境にコピーする。

# cp ./proftpd-1.2.9/proftpd.spec /usr/src/redhat/SPECS
# cp proftpd-1.2.9.tar.bz2 /usr/src/redhat/SOURCES

デフォルトのspecファイルままだと、/etc/ftpusersにusersグループも取り込まれてしまい一般ユーザがアクセスできなくなるのと、基本パッケージとinetdパッケージをインストールすると、どちらもstandaloneモードが起動し、xinetd経由でも起動でき、且つ、configファイルはinetd用になっているというおかしな状態になるので、specファイルを少し編集し、inetdパッケージをインストールしたときには、standaloneモードを停止し、起動スクリプトを無効にするように変更した。（青字は削除、赤字は追加、緑字は変更したものです。）

# vi /usr/src/redhat/SPECS/proftpd.spec

     (snip)

%pre
if [ ! -f /etc/ftpusers ]; then
    touch /etc/ftpusers
IFS=":"
    while { read username nu nu gid nu; }; do
      if [ $gid -le 99 -a "$username" != "ftp" ]; then
          echo $username
     fi
   done </etc/passwd >/etc/ftpusers
fi

     (snip)

%post inetd
# Standalone mode stop
if [ -d /var/run/proftpd ]; then
     kill proftpd
     rm -rf /var/run/proftpd/*
fi
/sbin/chkconfig --del proftpd

     (snip)

[Esc]、[:]、[w]、[q]で保存。

バイナリRPMを作成する。下記操作で、/usr/src/redhat/RPMS/i386配下にRPMが作成される。

# cd /usr/src/redhat/SPECS
# rpmbuild -ba proftpd.spec --with mod_tls
上記で作成されたバイナリRPMをインストールするが、デフォルトでinetdモードになっているので、下記のように2つのRPM(proftpd-1.2.9-1.i386.rpm、proftpd-inetd-1.2.9-1.i386.rpm)をインストールすること。

# cd /usr/src/redhat/RPMS/i386
# rpm -ivh proftpd-1.2.9-1.i386.rpm proftpd-inetd-1.2.9-1.i386.rpm

■RPMインストールとソースインストールの相違点

RPMからインストールした場合とソースからコンパイルして入れた場合では、少し設定関係が違いますので、注意が必要です。以下は、ソースからインストール済みのケースで記述しています。新規なら、xxxx.rpmnewというファイルは作成されずに素直にインストールされるので、下記を参考に適宜対応してください。

設定ファイルの場所

　ソースインストールの場合は、/usr/local/etc/proftpd.confであるが、RPMの場合は、RedHat標準の/etc/proftpd.confとなる。既に、ソースで入れて動作させているなら、ここに単純にコピーすればよい。新規なら、このファイルを編集していく。

# cp /usr/local/etc/proftpd.conf /etc/proftpd.conf
cp: '/etc/proftpd.conf' を上書きしてもよろしいですか(yes/no)? yes

起動設定とlogrotate

　後述するように、動的IPアドレス環境下でPASV公開するならinetd起動は必須であり、常時起動するようなものでもないので、ここではinetdモードで動作させるため、新しいinetd用スクリプトと置き換える。serverパスが異なるので入れ替えること。新規インストールなら、本作業は不要。
　また、standalone用のlogrotateスクリプトがproftpd.rpmnewとして作成されるので、削除しておく。

# chkconfig --del proftpd
# mv /etc/xinetd.d/proftpd.rpmnew /etc/xinetd.d/proftpd
mv: '/etc/xinetd.d/proftpd' を上書きしてもよろしいですか(yes/no)? yes
# rm /etc/logrotate.d/proftpd.rpmnew
rm: remove 通常ファイル '/etc/logrotate.d/proftpd.rpmnew'? yes

pam認証の違い

　RPMからインストールすると、/etc/pam.d配下にftpという名称でpam認証の設定がインストールされる。ソースから入れて既にftpがあると、rpmnewという拡張子がついてインストールされるので、既存のftpと入れ替える。

# mv /etc/pam.d/ftp.rpmnew /etc/pam.d/ftp
mv: '/etc/pam.d/ftp' を上書きしてもよろしいですか(yes/no)? yes

　　
/etc/ftpusersの設定

　新しいpam認証では、/etc/ftpusersによるアクセス規制が有効になる。/etc/ftpusersに一般ユーザも登録されており、このままではアクセスできなくなるので、許可するユーザを削除しておくこと。

　既にソースからインストールして動作させていたなら、以上の設定変更後にxinetdを再起動するだけで移行は完了します。

■ProFTPDの設定

RPMそのものは、SSL/TLSに対応していますので設定だけで動作させることができます。SSL/TLS対応やバーチャルホストについては各ページを参考にしてください。ここでは、基本的な設定のみ示します。ProFTPDの設定は、/etc/proftpd.confを編集します。FTPの用途は、WWWサーバへのコンテンツのアップロード（パーミッションの設定が楽）と家庭内でのデータのやり取りだけであり、anonymousFTPは公開しないというポリシーで設定してあります。設定は、例によってエディタで簡単に。修正した部分のみ記載しています。（青字は削除、赤字は追加、緑字は変更したものです。）

サーバ名の変更（どうでもいい）

ServerName "ProFTPD Default Installation"

　　　　　　　↓追加、変更

#ServerName "ProFTPD Default Installation"
ServerName "ProFTPD"
サーバタイプの変更(RPMの場合はデフォルトでinetdになっているので不要）

ServerType standalone

　　　　　　　↓追加、変更

#ServerType standalone
ServerType inetd

　デフォルトは、デーモン起動のstandaloneですが常時使用するものでもないので、メモリ利用効率を考えxinetd.d経由の起動とし、inetdに変更。
　MaxInstancesディレクティブは、許可された同じ接続の最台数をコントロールするものでDoS attacks等に有効。inetdモードでは無効なため、特にコメントアウトしていない。
NATルータ越えでPASVモードでインターネット公開する場合の設定の追加

　最近は、いくつかのメーカや機種で本設定を行わなくてもルータで同等の対応を行うものが増えてきているので、まずは、本設定を行わずにPASVを動かしてみるとよい。対応済みルータで本設定を行うと逆にLISTで止まるようになるので注意が必要。

# PASVモードでインターネット公開する場合の設定
MasqueradeAddress　　　ルータのWAN側アドレス　又は　ドメイン名
PassivePorts 　　　　　　　最小ポート番号　最大ポート番号

・MasqueradeAddress
　MasqueradeAddressでは、ルータのWAN側アドレス又はドメイン名が指定できるが、固定IPの場合はルータのWAN側アドレスでも良いが、動的IPの場合は、必然的にDDNSでのドメイン名になる。一般的には関係ないが、おやじのようにインターネットと同じドメイン名で内向きDNSを建てていると、自宅DNSでは自分のドメイン（おやじの場合なら、example.zive.net)は牽けないため接続できない。おやじが使用しているZiveさんでは、3つまでホスト名登録ができるので、FTP専用のホスト名（ex. exampleftp.zive.net)を登録し、このドメイン名をMasqueradeAddressに記述することで、この問題を回避できる。
　なお、動的IPの場合、サーバタイプがstandaloneになっているとIPの変化が起きてもDNSを牽き直さないので、必ずinetdで走らせる必要がある。
　現在は、自宅DDNSでの運用に切り替えたので、この目的専用のホスト名を内向きのゾーンにDDNSで登録し、そのアドレスを指定してある。(DNSとしては内向きだが、あるホスト名だけは動的IPアドレスが牽けるようにしてあり、これで対処している。)

・PassivePorts
　PassivePortsでは、PASVモードで使用するポート番号（1024以上）の最小と最大で範囲指定する。おやじは、家庭用なのでそれほど多くは必要ないのと使いまわしされるので、MaxInstancesと同じ30ポートとし、他のデーモンで使ってない4000-4029とした。
　なお、このポートはインターネット側から接続が開始されるので、ルータのスタティックNATでサーバにNATすると同時に、フルタリングも開ける必要がある。
PAM認証の設定の追加

# PAM認証の設定
AuthPAMConfig ftp

　ログイン時に、PAMのエラーログが毎回出ていた（接続はできるが）ので設定を追加した。
ユーザ・グループの変更

User nobody
Group nogroup

　　　　　　　↓追加、変更

User nobody
#Group nogroup
Group nobody

　デフォルトでは、nogroupというグループになっていますが、RedHatにはnogroupというグループはないため、追加してもいいがここでは、権限の低い既存のnobodyに変更。
アクセスディレクトリの制限（追加）

DefaultRoot                     ~ !wheel

　”~”　指定により、接続ユーザにユーザのhome以上を見せないようにするが、これでは不便なのでwheelグル－プのユーザ（おやじ）のみ自由にアクセスできるように設定。

　上記設定では、/houme/user以下がrootディレクトリとなり、Maildir等システム関係のディレクトリ・ファイルが見え、誤操作でおかしてしまう可能性もある。従って、以下のように設定変更し、一般ユーザはpublic_html以下しかアクセスできないようにした。

DefaultRoot                     ~/public_html !wheel

　更に、グループの制御に関してはカンマで区切って複数のグループを記述でき、それらのアンド条件で適用される。従って、下記の例では、ftpユーザで且つwheelユーザではないユーザがpublic_html以下しかアクセスできないようになる。ただ、この設定はDefaultRootと~ftp,!wheelの間は[Space]にしないと有効にならなかった。他のディレクティブは、[Tab]で問題はないのだが？

DefaultRoot                     ~/public_html ftp,!wheel
アクセスユーザの制限（追加）

<Limit LOGIN>
　Order allow, deny
Allow from 127.0.0.1, ~~192.168.0., 192.168.1.~~　192.168.0.0/24, 192.168.1.0/24
Deny from all
</Limit LOGIN>

　localhostとおやじ宅内(192.168.0.0/24, 192.168.1.0/24)からのみ、アクセスを許容し、それ以外は拒否するように設定。

　ProFTPD-1.2.6にアップしたところ、上記設定があると家庭内から一切アクセスできなくなってしまったが、ふと思いついて、アドレス表記を簡略形の「192.168.0., 192.168.1.」ではなく、「192.168.0.0/24, 192.168.1.0/24」と表記したところ、ProFTPD-1.2.6でも機能することが判明しました。
詳細ログの取得設定

LogFormat allinfo "%t : %u (%a [%h]) : [%s], %T, %m (%f)"
LogFormat write "%t : %u : %F (%a)"
LogFormat read "%t : %u : %F (%a)"
LogFormat auth "%t : %u (%a [%h])"

ExtendedLog /var/log/proftpd/all.log ALL allinfo
ExtendedLog /var/log/proftpd/write.log WRITE write
ExtendedLog /var/log/proftpd/read.log READ read
ExtendedLog /var/log/proftpd/auth.log AUTH auth

　下記で、ログファイルのディレクトリを作成しておく。

# mkdir /var/log/proftpd
ログイン時間の短縮化　(追加）

UseReverseDNS off　　　(DNS逆引きを停止：時間短縮にはさほど効果なし)
IdentLookups off　　　　　(Identの停止。効果絶大)
anonymousFTPの停止

anonymousFTPは、運用しないため、全項目をコメントアウト。

◆追加の設定

上記以外で、使用環境によっては設定しておいたほうが良いと思われるパラメータを参考までに上げておきます。

時刻表示の変更

時刻表示はデフォルトでGMTになっており、日本を対象にするなら下記設定を追加することにより、local timeに変更される。

TimesGMT off
Resume機能のサポート

大きなファイルのダウンロードやアップロード中に回線断等のトラブルにより転送が中断してしまった場合、クライアントがサポートしていれば、中断点から再開できるのが、Resume機能である。ダウンロードはデフォルトで機能が有効になっているが、アップロードは無効になっている。有効にしたければ、下記設定を追加する。但し、アップロードを許可すると言うことは、REST コマンドによって再開するので、クライアントのオペミス（同一名称のままアップロード）で、先に保存されたファイルが壊れたりすることがあるので、特にanonymousでは絶対に使用しないほうが良い。

# Allow clients to resume downloads (default on)
AllowRetrieveRestart on

# Allow clients to resume uploads (default off)
AllowStoreRestart on
アップロード中断ファイルの自動削除

大きなファイルをアップロードすることがない場合は意味がないが、アップロード中に回線断等ではなく、クライアント操作で転送を中断(ABORコマンドによる中断)した場合に、下記設定を行っておくと自動的に中途半端なファイルを削除してくれる。上記、AllowStoreRestartとは背反である。

# Enable automatic deletion of partially uploaded files (default off)
DeleteAbortedStores on
同一ホストからの同時接続数の制限

ダウンロードツール等を使用すると、複数セッションを設定して高速でダウンロードできるが、特定ユーザに細い回線を占有されてしまう。これを制限するのが下記設定で、数字は同時接続数であり、デフォルトは無制限である。制限されたときは、下記メッセージが返送される。

# The maximum number of clients allowed to connect per host.(default none: no limit)
MaxClientsPerHost 1

[デフォルトメッセージ]

　Results in: 530 Sorry, the maximum number clients (%m) from your host are already connected.　(%mは制限値）
異なるホストからの同一ユーザでの同時接続数の制限

違った場所からの同一ユーザでのログインを制限できる。制限するには下記設定を行うが、数字は同時接続数である。制限されたときは、下記メッセージが返送される。

# The the maximum number of times different hosts.　(default none: no limit)
MaxHostsPerUser 1

[デフォルトメッセージ]

　Results in: 530 Sorry, the maximum number of hosts (%m) for this user already connected.　(%mは制限値）
アップロードファイル容量の制限

アップロードを許可している場合、オペミスで大容量のファイルをアップしてしまったり、anonymousでいたずらされたりすることを防止できる。最悪はHDDを使い切ってシステムロックすることも考えられるので、設定しておいたほうが良い。但し、この設定で制限できるのはファイルの大きさだけなので、quotaでHDDの使用量制限を併用することを勧める。なお、ダウンロードの制限もMaxRetrieveFileSizeで可能であるが、あまり意味はない。
下記の上の例は全てを3MByteに制限する例であり、下の例はanonymousのみ50KByteに制限する例である。単位は、"Gb" (Gigabytes), "Mb" (Megabytes), "Kb" (Kilobytes), "B" (bytes)である。

# Restrict upload to only 3 megabytes
MaxStoreFileSize 3 Mb

# Restrict anonymous uploads to 50k, but allow unlimited upload size for everyone else
MaxStoreFileSize 50 Kb user anonymous
MaxStoreFileSize *
タイマ関係の設定

タイマ関係としては、以下が設定可能であるが、家庭内で使用するには基本的にデフォルト値で問題ないはずなので、特に追加記述は不要である。各自の動作環境を想定して変更すると良い。敢えて変更するなら、TimeoutStalledで、ストール(止まった）したままでいつまでも繋いでおく必要もないので、10分(600)程度で切断しても良いと思われる。トータル時間を制限するなら、TimeoutSession を指定すれば、転送の遅いユーザは切ることもできる。
なお、ここで無制限としても、巨大なファイルを細い回線で時間をかけて転送していると、転送が切れてしまう(転送完了後に切れることが多いはず）ことがある。これは、クライアントの実装にもよるが、データ転送中は制御コネクションにデータが流れないためルータのNATテーブルが消えてしまうことから発生する。制御コネクションのKeepaliveとしてNOOPコマンドを投げているクライアントもある。
- TimeoutIdle (default: 600) -- 制御・データコネクションのいずれかからもデータを全く受け取らないまま、接続を維持している時間。
- TimeoutLogin (default: 300) -- クライアントが認証に最大何秒間費やせるかを指定。
- TimeoutNoTransfer (default: 600) -- 認証後に、データ転送(ファイル転送やリストを取得)をしないで、最大何秒間接続していられるかを指定。
- TimeoutSession (default: none) -- 認証後に、制御コネクションを保持している時間を指定。デフォルトは無制限。
- TimeoutStalled (default: 0 {no limit}) -- サーバとFTPクライアント間で、実際のデータ転送をしない(つまり、止まったまま）で最大何秒間データコネクションを維持していられるかを指定。デフォルトは無制限の"0"。
　
# Sets the idle connection timeout (default: 600)
TimeoutIdle 600

# Sets the login timeout (default: 300)
TimeoutLogin 300

# Sets the connection without transfer timeout (default: 600)
TimeoutNoTransfer 600

# Sets a timeout for an entire session (default: none)
TimeoutSession none

#　Sets the timeout on stalled downloads (default: 0 {no limit})
TimeoutStalled 600
転送量の制御

[ProFTPd 1.2.7以前]

非常に負荷が重い場合意外は意味がないが、下記設定でダウンロードの転送量を制御できる。アップロードも同様のパラメータがある。
制御用のパラメータは3つあり、単独又は組み合わせて使用する。
- RateReadBPSは、1秒あたりの最大ダウンロード量をバイトで表す。"0"は無制限である。
- RateReadFreeBytesは、次のRateReadHardBPSパラメータと組み合わせて使用され、ここでは制限なしで転送できるバイト数を設定する。つまり、大きなファイルはある程度制限し、小さなファイルは制限せずに転送してあげようという考えである。制限量を越えた場合の動作は、下記のRateReadHardBPSを参照。
- RateReadHardBPSがonの場合、ファイルのRateReadFreeBytes量が転送された後、RateReadBPSで設定された帯域で転送される。これらのパラメータを使うなら、FreeBytes ＞ ReadBPSとなるはずである。
# The allowed byte per second download bandwidth in the given config context. (default :0)
RateReadBPS 30000

# The amount of bytes to be transferred without any bandwidth limits. (default :0)
RateReadFreeBytes 100000

# RateReadHardBPS forces the bandwidth to the given RateReadBPS value after
# the RateReadFreeBytes amount of file was transfered. (default :off)
RateReadHardBPS on

[ProFTPd 1.2.8RC1以降]

従来、転送量の制御は、RateRead* と RateWrite* で行えるようになっていたが、1.2.8rc1 から本ディレクティブは廃止され TransferRate というディレクティブに変更、集約された。
TransferRate ディレクティブのパラメータは以下のとおりであり、コンテキストはserver config, <VirtualHost>, <Global>, <Anonymous>, <Directory>, .ftpaccessなので、制御単位に合わせて適宜設定する。

TransferRate [ cmds] [ kilobytes-per-sec[:free-bytes]] [ ["user"|"group"|"class" expression]]
- cmds -- 制御対象のコマンドを指定する。対象コマンドは、RETR、STOR、STOU、APPEであり、複数指定する場合は「,」区切りで記述する。ダウンロード系は「RETR」を、アップロード系は「STOR,STOU,APPE」とすればよい。
- kilobytes-per-sec -- 読んで字のごとく、転送制御量をKByte/s単位で指定する。
- free-bytes -- 本パラメータは、「kilobytes-per-sec」に続けて、「:1024」のようにコロンを挟んで指定する。このパラメータが指定されていると、ここで指定した容量まではkilobytes-per-sec による転送量制御が効かなくなる。一般的には、転送量制御は大きなファイルの転送を平均化するのが目的のため、このパラメータで小さなファイルは一気に送ってしまうことができる。
- "user"|"group"|"class" expression -- 転送量制御の対象を、user、group、class で指定する。それぞれ、後ろに対象を記述する。「group !wheel」とすれば、wheel グループ以外が対象となる。classについては、別途 class ディレクティブで対象を指定する。
下記設定例では、ダウンロードにおいて wheel グループ以外は、5KByte/sに転送量を制限されるが、1Kbyte以下のファイルはこの限りではないとなる。

TransferRate RETR 5.0:1024 group !wheel

[ Class ディレクティブ]

Class ディレクティブは、 server config (共通部)に下記のように記述する。

　Class [ "name" limit|regex|ip value]
- name -- クラスを識別するための適当な名前を指定。
- limit value -- コネクションの最大数を指定。(デフォルト：100)
- regex value -- このクラスとして扱うホスト名を指定。ワイルドカード可。
- ip value -- このクラスとして扱うネットワークを IP/ネットマスクで指定。
下記の例では、local と default の二つのクラスを作成している。この設定では、デフォルトは最大10コネクションしか張れないが、ホスト名が *.foo.com で且つアドレスが 172.16.1.* なら最大100コネクション張れることになる。

Classes on
Class local limit 100
Class default limit 10
Class local regex *.foo.com
Class local ip 172.16.1.0/24

◆Timing attack対策(mod_delayモジュールの組み込み)

2004年10月現在でProFTPDにログイン中のコマンド実行タイミングを測定して、そのタイミングを元にアタックすると外部から有効なユーザアカウントを識別することができるという問題があり、その対策として「mod_delay」というモジュールが提供されています。次期バージョンでは対策されるようなので、細かい説明は省略しますが、本モジュールを組みこんだrpm( proftpd-1.2.10-2.i386.rpm )をダウンロードにおいておきますので、インストールして下記の設定をしてください。proftpd-1.3.0rc1以降ではデフォルトで組み込まれました。

詳細については、ProFTPDのサイトを見てください。

mod_delayモジュールの組み込み

下記の設定をproftpd.confに追加(コンテキストは"server config")してください。

# DelayEngine directive enables
<IfModule mod_delay.c>
DelayEngine on
</IfModule>
# The DelayTable directive configures a path to a file that mod_delay
# uses for storing its timing data.
DelayTable /var/proftpd/proftpd.delay

組み込み確認

xinetdもしくはproftpdを再起動し、下記でmod_delay.cが存在し組み込みができているか確認してください。

# /usr/sbin/proftpd -l
Compiled-in modules:
mod_core.c
mod_xfer.c
mod_auth_unix.c
mod_auth_file.c
mod_auth.c
mod_ls.c
mod_log.c
mod_site.c
mod_auth_pam.c
mod_ratio.c
mod_readme.c
mod_tls.c
mod_delay.c
mod_cap.c

動作確認

実際にftp接続を行った際に、タイミングデータを書き込むファイル(/var/proftpd/proftpd.delay)が作成されているか確認してください。

■logrotateの設定

/etc/logrotate.d配下に下記のようにproftpdを作成するだけで、他のlog同様、1週間毎にlogrotateされます。

# vi /etc/logrotate.d/proftpd
/var/log/proftpd/all.log /var/log/proftpd/auth.log /var/log/proftpd/read.log /var/log/proftpd/write.log {
# ftpd doesn't handle SIGHUP properly
nocompress
}

「Esc」、「：」、「w」、「q」で保存する。１行目は、/var/log/proftpd/*.logでもよい。

Top Pageへ