- webサーバの殆どに、利用可能となっており、ホームページの更新に利用されていることから、改竄やデータ搾取の攻撃対象になり易いので、行ったおきたい対策の一つ。
設定項目(/etc/vsftpd/vsftpd.confの下記設定項目を追加・修正)
一般設定 | |||||
対策内容 | 設定項目 | = | 設定値 | 設定内容 | 補足 |
1 | anonymouse_enable | = | NO | 匿名でのアクセスは禁止 | Anonymous(匿名)接続は、特段の必要性がない限り禁止 |
1 | local_enable | = | YES | ローカルユーザのログインを許可 | サーバに登録されているユーザのみが接続可能にし、利用者を限定する |
2 | listen_port | = | 65021 | 制御チャンネルの待ち受けポート | 既定値を変更して、好からぬ輩からのスキャン対策 |
2 | connect_from_port_20 | = | NO | Active接続時のデータコネクションを禁止→Pasv接続のみ許可 | ポートを固定しての通信を禁止して、好からぬ輩からのスキャン対策 |
1 | chroot_local_user | = | YES | ログインユーザのホームディレクトリ内のみに操作範囲を制限(chroot) | 他のユーザや、システムの内容が丸見えになってしまう対策 |
1 | chroot_list_enable | = | NO | chroot対象外のユーザリストを使用しない | メンテナンス用に必要な場合は`YES`を指定 |
1 | chroot_list_file | = | /etc/vsftpd/chroot_not_user_list | chrootしない例外ユーザの一覧 | `chroot_list_enable`を`YES`にしたとき必要 |
4 | use_localtime | = | YES | 時刻の扱いをローカルタイムにする | ログを追掛け易いように |
1 | userlist_enable | = | YES | ユーザリストによる制限を掛ける | 許可範囲を制限する |
1 | userlist_deny | = | YES | ログイン拒否ユーザリストを使用する | `root`や`mail`などシステムユーザを接続禁止する為に必要 |
1,2 | userlist_file | = | /etc/vsftpd/users_deny | [vsftpdの拒否リスト]を参照してください | 接続させたくないユーザを指定 |
2 | pasv_min_port | = | 65100 | Pasv接続時のデータコネクション許可ポートの最小値 | 範囲を限定することによって、ルータやファイヤーウォールなどで、 範囲外のポートを完全に閉じることができます |
2 | pasv_max_port | = | 65199 | Pasv接続時のデータコネクション許可ポートの最大値 | |
1,2,3 | SSL関連設定は[vsftpdのFTPS設定]を参照してください | 2009年に世界を震撼させたガンプラー対策 |
Page Info | |
---|---|
Page Name : | RHEL関連/CentOS/パッケージ/vsftpd/ftpセキュリティ対策 |
Page aliases : | vsftpdのセキュリティ対策 |
Page owner : | mugi |
Can Read | |
Groups : | All visitors |
Users : | All visitors |
Can Edit | |
Groups : | No one |
Users : | No one |
Counter: 4459,
today: 1,
yesterday: 0
Princeps date: 2012-08-07 (Tue) 10:55:19
Last-modified: 2012-08-07 (Tue) 10:55:19 (JST) (4417d) by mugi