Referer- 2009年頃に発生したガンプラー
で、平文でのやり取りはセキュリティ的にとってもデンジャラスということで、セキュリティレポートや、クライアントさんからサーバアップロードには、ssh(WinSCP)対応を要望されることが多々あるが、IDとパスが突破された際のリスクは計り知れないので、ftpで暗号化(File Transfer Protocol over SSL/TLS→FTPS)を提案しています。
確認環境 
- CentOS 5.7 (x86/32ビット版)
- vsftpd 2.0.5-21.el5
- openssl 0.9.8e-20.el5
設定・起動
- /etc/vsftpd/vsftpd.confに設定項目を追加。
設定項目 = 設定値 設定内容 ssl_enable = YES SSL/TLS接続の有効化 allow_anon_ssl = YES Anonymous接続も暗号化して平文を一切禁止 force_local_logins_ssl = YES 制御チャンネル(ログイン他)にはSSL/TLS接続のみ許可(平文禁止) force_local_data_ssl = YES データチャンネルにはSSL/TLS接続のみ許可(平文禁止) rsa_cert_file = /etc/pki/tls/certs/vsftpd.pem SSL証明書ファイル(PEM形式) ↓ SSL証明書ファイルとSSL証明書ファイル作成時の秘密鍵ファイルに分けた場合(2行) rsa_cert_file = /etc/pki/tls/certs/vsftpd.crt SSL証明書ファイル rsa_private_key_file = /etc/pki/tls/private/vsftpd.key SSL証明書ファイル作成時の秘密鍵ファイル ssl_tlsv1 = YES 今のところこれが最強 
ssl_sslv2 = NO 弱すぎると評判 
ssl_sslv3 = NO ftpクライアントがTLSに対応していない場合に使用 
- 設定項目の詳細は、`man vsftpd.conf`で確認できる(かもしれない?)。
- SSL証明書の作成・取得など、ここでは割愛。
- 暗号強度の低いプロトコルは、今日日、その危険性を指摘され、且つ、解読されているようなので、使わないようにしましょう 。
- 設定を反映(再起動)。
# /etc/init.d/vsftpd restart
- 接続確認。
- 接続確認に問題がなければ完了
。
ExplicitとImplicit
Explicit
- Connect直後に、クライアントからSSL/TLS接続に切り替える要求を明示的に送信する(要求は平文で送信)。
- tcpポートは平文と同じ21(既定値の場合)を使う(参考:RFC2228)。
- これ以降、Loginを含め、データ通信はSSL/TLS接続化される。
- 平文運用の設定のまま実装できる。
Implicit
- Connect直後移行、自動的に暗黙でSSL/TLS接続化する。
- SSL/TLS接続用ポートが必要。
- SSL/TLS接続でしか接続できない仕様。
| Page Info | |
|---|---|
| Page Name : | RHEL関連/CentOS/パッケージ/vsftpd/FTPS |
| Page aliases : | vsftpdのFTPS設定, vsftpdのSSL接続, vsftpdのTLS接続 |
| Page owner : | mugi |
| Can Read | |
| Groups : | All visitors |
| Users : | All visitors |
| Can Edit | |
| Groups : | No one |
| Users : | No one |
Counter: 6437,
today: 1,
yesterday: 1
Princeps date: 2012-08-07 (Tue) 10:53:53
Last-modified: 2012-08-07 (Tue) 10:53:53 (JST) (4643d) by mugi
