21.2.2.3. TLS を使用した vsftpd 接続の暗号化
ユーザー名、パスワード、およびデータを暗号化せずに送信する
FTP
の本質的にセキュアでない性質に対照するために、vsftpd
デーモンが TLS
プロトコルを使用して接続を認証し、すべての送信を暗号化するように設定できます。TLS
をサポートする FTP
クライアントは、TLS
が有効になっている vsftpd
と通信する必要があることに注意してください。
注記
SSL
(Secure Sockets Layer)は、セキュリティープロトコルの古い実装の名前です。新しいバージョンは TLS
(Transport Layer Security)と呼ばれます。SSL
にはセキュリティーに関する深刻な脆弱性があるため、新しいバージョン(TLS
)のみを使用してください。vsftpd サーバーに付随するドキュメントや vsftpd.conf
ファイルで使用される設定ディレクティブでは、セキュリティー関連の項目を参照する際に SSL
名を使用しますが、TLS
はサポートされており、ssl_enable
ディレクティブが YES
に設定されているときにデフォルトで使用されています。
vsftpd.conf
ファイルの ssl_enable
設定ディレクティブを YES
に設定して、TLS
サポートを有効にします。ssl_enable
オプションが有効になっていると自動的にアクティブになる他の TLS
関連のディレクティブのデフォルト設定により、合理的に適切に設定された TLS
のセットアップが提供されます。これには、すべての接続に TLS
v1 プロトコルのみを使用する要件(安全でない SSL
プロトコルバージョンはデフォルトで無効になるなど)や、匿名以外のすべてのログインでパスワードおよびデータ送信での TLS
の使用を強制することなどです。
例21.10 TLS を使用するように vsftpd の設定
以下の例では、設定ディレクティブは
vsftpd.conf
ファイルでセキュリティープロトコルの古い SSL
バージョンを明示的に無効にします。
ssl_enable=YES ssl_tlsv1=YES ssl_sslv2=NO ssl_sslv3=NO
設定を変更したら、
vsftpd
サービスを再起動します。
~]# service vsftpd restart
vsftpd
による TLS
の使用を微調整するための他の TLS
関連の設定ディレクティブについては、vsftpd.conf(5) man ページを参照してください。また、一般的に使用されるその他の vsftpd.conf
設定ディレクティブの説明は、「vsftpd 設定オプション」 を参照してください。