*** vsFTPDってなになの? [#qa28d119]
- いままでLinuxでFTPDといえば[[wu-FTPD>http://e-words.jp/n/ftpd.html]]といわれるくらい有名だったのですがセキュリティ的に危ないとか対応が遅いとか言われてまして、あのRedHatでも最後の頃はこのvsFTPDを採用するようになっていたのです。
- vsFTPD(Very Secure)ともいわれ後発だけに色々な安全策をもっているようです。~
ちなみにFedoraでも何も考えなければ、このvsFTPDがインストールされます。
- 私がいいなと思ったのが特定アカウントはログインさせないとか、自分のホームディレクトリ以下しか動けない。~
いつもFTP((FTPが判らないって人は。。。[[ここを>http://e-words.jp/w/FTP.html]]みてくださいな))で上の階層が見えてなあ。と思ったけどこれはいいかも。
: 前提条件 | COLOR(RED){''vsftpd''}パッケージがインストール((パーケッジの[[インストール方法>パーケッジのインストールの巻]]はこちらを参照))されていることが条件。~
パッケージの確認は、COLOR(RED){''rpm -q vsftpd''}コマンドで確認できるよ。~
*** vsFTPD の設定ファイル [#xfa7a153]
- COLOR(RED){''/etc/vsftpd/vsftpd.conf''} 以下の定義値を修正または追加する。
匿名ユーザはログインさせない
anonymous_enable=NO
アイドル時のタイムアウト
idle_session_timeout=600
接続時時のタイムアウト
data_connection_timeout=60
アスキーモードでアップロード許可
ascii_upload_enable=YES
アスキーモードでダウンロード許可
ascii_download_enable=YES
ログオン時のグリーティングバナー
ftpd_banner=Welcome to sea-bird.org FTP service.
一般ユーザはホームパスより上へアクセスさせない
chroot_list_enable=YES
ホームパスより上へアクセスさるユーザリストファイル
chroot_list_file=/etc/vsftpd.chroot_list
ディレクトリ削除可能
ls_recurse_enable=YES
ユーザが打ち込んだftpコマンドをログに残す
xferlog_std_format=NO
log_ftp_protocol=YES
パッシブモードを有効
pasv_promiscuous=YES
タイムスタンプ時間を日本時間に合わせる
use_localtime=YES
- COLOR(RED){''/etc/vsftpd.chroot_list''} ファイルをとりあえず作成しておく。~
これを行わないと、ftpでログインしたときに~
COLOR(RED){''500 OOPS: could not open chroot() list file:/etc/vsftpd.chroot_list''} と表示され怒られます。
# touch /etc/vsftpd.chroot_list
*** vsFTPD を起動する [#e8abd7a2]
- vsFTPD を起動する
# /etc/rc.d/init.d/vsftpd start
-- Fedora16の場合
# systemctl start vsftpd.service
- OSの起動を行なったときにvsFTPDを自動的に起動するように設定する
# chkconfig vsftpd on
-- Fedora16の場合
# systemctl enable vsftpd.service
*** ユーザー制限 [#s42ca897]
- 許可するユーザーが少なくユーザー制限を行う場合、/etc/vsftpd/user_list にログインを許可したいユーザーを記述する。
userlist_enable=YES
userlist_deny=NO
- 拒否するユーザーが少なくユーザー制限を行う場合、/etc/vsftpd/user_list にログインを拒否したいユーザーを記述する。
userlist_enable=YES
userlist_deny=YES
*** ユーザー単位で許可/不許可する [#x9596aea]
- sshのアタックが多いのでユーザー単位で利用を制限する方法を導入してみる。
-- COLOR(RED){''/etc/pam.d/vsftpd''} ファイルを開き最終行に以下の記述を追加する。~
これにより ''/etc/security/access.conf'' の設定が有効になる。
account required pam_access.so
-- ユーザー単位で利用を制限する記述を COLOR(RED){''/etc/security/access.conf''} ファイルに記述する。
-:ALL EXCEPT hoge:ALL
- 上記の設定は、''hoge'' アカウントのみ全てのアクセス元からの接続を可能とする指定である。~
その他のアカウント接続は拒否されます。
*** 参考にさせて頂いたサイト様 [#i8d2aa41]