2.2.6. FTP のセキュリティー保護
ファイル転送プロトコル()FTP)は、ネットワーク上でファイルを転送するために設計された古い TCP プロトコルです。ユーザー認証を含むサーバーでのすべてのトランザクションは暗号化されないため、安全ではないプロトコルと見なされ、注意して設定する必要があります。
Red Hat Enterprise Linux は、3 つの FTP サーバーを提供します。
- gssftpd : ネットワーク経由で認証情報を送信しない Kerberos xinetdベースの FTP デーモン。
- Red Hat コンテンツフレーム (tux)- FTP 機能のあるカーネル空間の Web サーバーです。
- vsftpd : FTP サービスのスタンドアロンのセキュリティー指向の実装。
vsftpd FTP サービスを設定する際には、以下のセキュリティーガイドラインが挙げられます。
2.2.6.1. FTP Greetingbanner
ユーザー名とパスワードを送信する前に、すべてのユーザーに greeting バナーが表示されます。デフォルトでは、このバナーには、システム内でのネゴシエーターの特定を試みる攻撃者が役立つバージョン情報が含まれています。
の greeting バナーを変更するには vsftpd、以下のディレクティブを
/etc/vsftpd/vsftpd.conf
ファイルに追加します。
ftpd_banner=<insert_greeting_here>
上記のディレクティブの <insert_greeting_here> を greeting メッセージのテキストに置き換えます。
mutli-line バナーの場合は、バナーファイルを使用することが推奨されます。複数のバナーの管理を簡素化するには、すべてのバナーをという名前の新しいディレクトリーに配置し
/etc/banners/
ます。この例では、FTP 接続のバナーファイルはです /etc/banners/ftp.msg
。以下は、このようなファイルの例です。
######### Hello, all activity on ftp.example.com is logged. #########
注記
で指定されている 220 ように、ファイルの各行を開始する必要はありません 「TCP Wrapper および接続バナー」。
この greeting バナーファイルを参照するには vsftpd、以下のディレクティブを
/etc/vsftpd/vsftpd.conf
ファイルに追加します。
banner_file=/etc/banners/ftp.msg
また、で説明されているように TCP Wrappers を使用して、追加のバナーを受信接続に送信することもでき 「TCP Wrapper および接続バナー」 ます。