Welcome Guest 
メインメニュー
Googleアナリティクス
  • webサーバの殆どに、利用可能となっており、ホームページの更新に利用されていることから、改竄やデータ搾取の攻撃対象になり易いので、行ったおきたい対策の一つ。
Page Top

対策内容 anchor.png

  1. 接続できるユーザや操作範囲を限定する。
  2. 極力既定値(特に通信ポート)は使わない。
  3. 通信は暗号化する。
  4. 接続状況を確認し易いようにする。
Page Top

設定項目(/etc/vsftpd/vsftpd.confの下記設定項目を追加・修正) anchor.png

一般設定
対策内容設定項目=設定値設定内容補足
anonymouse_enable=NO匿名でのアクセスは禁止Anonymous(匿名)接続は、特段の必要性がない限り禁止
local_enable=YESローカルユーザのログインを許可サーバに登録されているユーザのみが接続可能にし、利用者を限定する
  2listen_port=65021制御チャンネルの待ち受けポート既定値を変更して、好からぬ輩からのスキャン対策
  2connect_from_port_20=NOActive接続時のデータコネクションを禁止→Pasv接続のみ許可ポートを固定しての通信を禁止して、好からぬ輩からのスキャン対策
chroot_local_user=YESログインユーザのホームディレクトリ内のみに操作範囲を制限(chroot)他のユーザや、システムの内容が丸見えになってしまう対策
chroot_list_enable=NOchroot対象外のユーザリストを使用しないメンテナンス用に必要な場合は`YES`を指定
chroot_list_file=/etc/vsftpd/chroot_not_user_listchrootしない例外ユーザの一覧`chroot_list_enable`を`YES`にしたとき必要
      4use_localtime=YES時刻の扱いをローカルタイムにするログを追掛け易いように
userlist_enable=YESユーザリストによる制限を掛ける許可範囲を制限する
userlist_deny=YESログイン拒否ユーザリストを使用する`root`や`mail`などシステムユーザを接続禁止する為に必要
1,2userlist_file=/etc/vsftpd/users_deny[vsftpdの拒否リスト]を参照してください接続させたくないユーザを指定
  2pasv_min_port=65100Pasv接続時のデータコネクション許可ポートの最小値範囲を限定することによって、ルータやファイヤーウォールなどで、
範囲外のポートを完全に閉じることができます
  2pasv_max_port=65199Pasv接続時のデータコネクション許可ポートの最大値
1,2,3SSL関連設定は[vsftpdのFTPS設定]を参照してください2009年に世界を震撼させたガンプラー対策

Page Top

外部&参考リンク anchor.png


Front page   Freeze Diff Backup Copy Rename ReloadPrint View   New Page Page list Search Recent changes   Help   RSS of recent changes (RSS 1.0) RSS of recent changes (RSS 2.0) RSS of recent changes (RSS Atom) Powered by xpWiki
Counter: 2675, today: 2, yesterday: 0
Princeps date: 2012-08-07 (Tue) 10:55:19
Last-modified: 2012-08-07 (Tue) 10:55:19 (JST) (2656d) by mugi
XOOPS Cube PROJECT
© 2011-2014 by 麦