|
Cur: 2012-08-07 (Tue) 10:53:53 mugi |
| + | TITLE:暗号化してセキュリティ確保 |
| + | -2009年頃に発生した[[ガンプラー>http://ja.wikipedia.org/wiki/Gumblar]] :-x で、平文でのやり取りはセキュリティ的にとってもデンジャラスということで、セキュリティレポートや、クライアントさんからサーバアップロードには、ssh([[WinSCP>http://winscp.net/eng/docs/lang:jp]])対応を要望されることが多々あるが、IDとパスが突破された際のリスクは計り知れないので、ftpで暗号化(File Transfer Protocol over SSL/TLS→FTPS)を提案しています。 |
| + | // |
| + | *確認環境 [#tb643bf2] |
| + | +[[CentOS:http://www.centos.org/]] 5.7 (x86/32ビット版) |
| + | +vsftpd 2.0.5-21.el5 |
| + | +openssl 0.9.8e-20.el5 |
| + | // |
| + | *設定・起動 [#s2ed9a19] |
| + | +/etc/vsftpd/vsftpd.confに設定項目を追加。 |
| + | |TLEFT:||||c |
| + | |設定項目|=|設定値|設定内容| |
| + | |ssl_enable|=|YES|SSL/TLS接続の有効化| |
| + | |allow_anon_ssl|=|YES|Anonymous接続も暗号化して平文を一切禁止| |
| + | |force_local_logins_ssl|=|YES|制御チャンネル(ログイン他)にはSSL/TLS接続のみ許可(平文禁止)| |
| + | |force_local_data_ssl|=|YES|データチャンネルにはSSL/TLS接続のみ許可(平文禁止)| |
| + | |rsa_cert_file|=|/etc/pki/tls/certs/vsftpd.pem|SSL証明書ファイル(PEM形式)| |
| + | |>|>|>|↓ &font(red){SSL証明書ファイルとSSL証明書ファイル作成時の秘密鍵ファイルに分けた場合(2行)};| |
| + | |CC:#ffff99 rsa_cert_file|CC:#ffff99 =|CC:#ffff99 /etc/pki/tls/certs/vsftpd.crt|CC:#ffff99 SSL証明書ファイル| |
| + | |CC:#ffff99 rsa_private_key_file|CC:#ffff99 =|CC:#ffff99 /etc/pki/tls/private/vsftpd.key|CC:#ffff99 SSL証明書ファイル作成時の秘密鍵ファイル| |
| + | |ssl_tlsv1|=|YES|LEFT:今のところこれが最強 :-D| |
| + | |ssl_sslv2|=|NO|LEFT:&font(red){弱すぎると評判}; :cry:| |
| + | |ssl_sslv3|=|NO|LEFT:ftpクライアントがTLSに対応していない場合に使用 :-o| |
| + | ++設定項目の詳細は、`man vsftpd.conf`で確認できる(かもしれない?)。 |
| + | ++SSL証明書の作成・取得など、ここでは割愛。 |
| + | ++&font(#ff0000){暗号強度の低いプロトコルは、今日日、その危険性を指摘され、且つ、解読されているようなので、使わないようにしましょう 。}; :-D |
| + | +設定を反映(再起動)。 |
| + | # /etc/init.d/vsftpd restart |
| + | +接続確認。 |
| + | ++[[NextFTP>http://www.toxsoft.com/nextftp/index.html]]他、ftpクライアントで、平文接続をし、接続できないことを確認。 |
| + | ++[[NextFTP>http://www.toxsoft.com/nextftp/index.html]]他、ftpクライアントで、TLS接続を設定し、接続後、ディレクトリなどが見れるか確認。 |
| + | +接続確認に問題がなければ完了 :hammer:。 |
| + | // |
| + | *ExplicitとImplicit [#o1391b47] |
| + | **Explicit [#t1e9b7ae] |
| + | +Connect直後に、&font(Red){クライアント};からSSL/TLS接続に切り替える要求を明示的に送信する(要求は平文で送信)。 |
| + | +tcpポートは平文と同じ21(既定値の場合)を使う(参考:RFC2228)。 |
| + | +これ以降、Loginを含め、データ通信はSSL/TLS接続化される。 |
| + | +平文運用の設定のまま実装できる。 |
| + | **Implicit [#t9891f08] |
| + | +Connect直後移行、自動的に暗黙でSSL/TLS接続化する。 |
| + | +SSL/TLS接続用ポートが必要。 |
| + | +SSL/TLS接続でしか接続できない仕様。 |
| + | // |
| + | *外部&参考リンク [#j547f2f1] |
| + | -[[ガンプラー>http://ja.wikipedia.org/wiki/Gumblar]] |
| + | -[[NextFTP>http://www.toxsoft.com/nextftp/index.html]] |
| + | -[[WinSCP>http://winscp.net/eng/docs/lang:jp]] |
| + | -[[CentOS>http://www.centos.org/]] |