Custom Search

JITAKU_SVR_Wiki

proftp ssl設定

proftpでSSL対応させる前に一つだけ説明。

なぜSSL化するのか?

ftpは通常21番ポートで待ちうけ、20番ポートでデータ転送を行う。
しかし、このftpはデフォルトで平分で通信を行う。
ここまで書けば何を伝えようとしているか分かると思うが、デフォルトのftpは盗聴の危険性がある。

流れるデータを盗み見られるのは非常に企業にとって痛手となるので、可能な限りこのリスクはつぶしておきたい。
その対応策の一つとしてSSL化を行う。
SSL化することで流れる通信は暗号化され、平分で送るより何倍も安全。

以下にproftpでSSL化を行う設定のメモ。

基本設定の説明は

で紹介しているので、そちらを参考に。


認証局

SSLに必要な認証局は今回はオレオレにする。
作り方は

上記のファイルが出来たら以下へ。

# mkdir /usr/local/etc/ssl

# cp -p /etc/pki/tls/certs/server* /usr/local/etc/ssl

# chmod 600 -R /usr/local/etc/ssl/

SSL化設定

以下に設定時のconfigファイルをそのまま列挙。

<IfModule mod_tls.c>
    TLSEngine                   on
    TLSRequired                 on
    TLSOptions                  UseImplicitSSL NoSessionReuseRequired NoCertRequest
    TLSLog                      /var/log/proftpd/tls.log
    TLSProtocol                 SSLv23
    TLSCipherSuite              ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
    TLSVerifyClient             off
    TLSRSACertificateFile      /usr/local/etc/ssl/server.crt
    TLSRSACertificateKeyFile   /usr/local/etc/ssl/server.key
</IfModule>

それ以外の設定は

と、同様にしている。

TLSEngine

    TLSEngine                   on

SSLを使う宣言

TLSRequire

    TLSRequired                 on

FTP待受け(21)、データ転送(20)の両方を暗号化する場合はon。

TLSOptions

非常に多いのでmanを参照。
http://www.proftpd.org/docs/contrib/mod_tls.html#TLSOptions
ここでは、以下の三つを指定。

  • UseImplicitSSL
    FTPSを使用するという暗黙の了解
    クライアントがFTPSを使用ない場合は拒否される(未検証)?
  • NoSessionReuseRequired
    SSLセッションの再利用を許可しない
  • NoCertReques
    証明書の警告をださない

TLSLog

TLSLog                      /var/log/proftpd/tls.log

SSL接続した際のログの出力場所。

TLSProtocol

TLSProtocol                 SSLv23

SSLプロトコルの指定。
SSLv23だとSSLv3とTLSv1の両方を許可する。

TLSCipherSuite

TLSCipherSuite              ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP

利用可能な暗号の指定。
難しすぎて良く分からない。
興味ある方は
http://www.proftpd.org/docs/contrib/mod_tls.html#TLSCipherSuite

TLSVerifyClient

TLSVerifyClient             off

クライアント証明書の要否を指定する。

TLSRSACertificateFile/TLSRSACertificateKeyFile

TLSRSACertificateFile      /usr/local/etc/ssl/server.crt
TLSRSACertificateKeyFile   /usr/local/etc/ssl/server.key

証明書関連。
keyファイル、crtファイルのパスとファイル名を指定。
今回はオレオレなので中間証明書とかは意識していないが、
使用する人は注意すること。

参考

http://www.proftpd.org/docs/contrib/mod_tls.html#TLSOptions
http://www.server-world.info/query?os=CentOS_5&p=ftp&f=7
http://triplesky.blogspot.jp/2013/02/proftpdsftpftps.html
http://ja.528p.com/linux/centos/SH006-pftpdconf.html
http://landisk.kororo.jp/diary/34_proftpssl.php


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2015-12-22 (火) 14:20:29 (639d)