セキュアFTPサーバの構築(vsftpd+SSL/TLS:RedHat系編)

■vsftpd のインストール

■vsftpd の設定

1. ブール・オプション
   
   機能に対して YES/NO でその機能をどう扱うかを設定するもので、機能毎にデフォルト値が決まっており、変更する場合のみ記述すればよい。慣れないだけかもしれないが、いろいろなことを考えて設定しようとすると、ProFTPD のほうが設定しやすく感じるのはおやじだけでしょうか？
   
   
2. 数値・オプション
   
   タイマ等の数値で設定するオプションであり、これもデフォルト値が決まっている。
   
   
3. ストリング・オプション
   
   ファイルのパス等、ストリング形式で設定するオプションであり、これもデフォルト値があるものとないものがあるので、適宜設定する。
   
   

◆SSL/TLS関係の設定

1. SSL機能の有効化
   
   ssl_enable=YES (デフォルト：NO)
   
   vsftpd はデフォルトでは SSL 機能が動かないので、本設定で動作するようにする。
   
   
2. SSLプロトコルの設定
   
   ssl_tlsv1=YES (デフォルト：ssl_tlsv1)
   
   vsftpd はSSLのプロトコルとして、SSL v2(ssl_sslv2)、SSL v3(ssl_sslv3)、TLS v1(ssl_tlsv1)の3種類をサポートしているが、デフォルトはTLS v1であり、多くの場合、この設定で問題ないのでデフォルトのままとする。
   
   
3. anonymous接続時のSSLの使用有無
   
   allow_anon_ssl=NO (デフォルト：NO)
   
   anonymous接続でSSLを使用する場合は、YESとする。不特定の相手を対象とするanonymous接続でSSL接続は考えられないので、NOのまま(デフォルト：NOなので未記述でよい)とする。
   
   
4. ローカルユーザ接続時のSSLの使用有無
   
   force_local_logins_ssl=NO (デフォルト：YES)
   force_local_data_ssl=NO (デフォルト：YES)
   
   ローカルユーザ接続時に、ログインとデータコネクションでSSL接続を強制的に行うオプション。デフォルトで両方ともYESになっているので、SSL以外での接続ができない。必要時にユーザが指定すればSSLが利用できるようにするには、両方ともNOに設定する。
   
   
5. サーバ証明書の指定
   
   rsa_cert_file=/usr/local/certs/vsftpd.pem (デフォルト： /usr/share/ssl/certs/vsftpd.pem)
   
   RSAサーバ証明書のファイルの位置を指定する。サーバ証明書はこちらを参考にして作成すが、作成するのは参照先にある証明書と鍵を一体化したメール用証明書(mail.pem)である。
   上記の指定は、/usr/local/certs配下にCourier-imap用に作成したmail.pemをそのまま利用し、名前だけロジカルリンクしたものである。名前は何でも良いのでmail.pemのままでも良い。
   
   

   # cd /usr/local/certs # ln -s mail.pem vsftpd.pem

   
   

Top Pageへ