48.2.6. FTP のセキュア化
ファイル転送プロトコル (FTP) は、ネットワーク上でファイルを転送するために設計された古い TCP プロトコルです。ユーザー認証を含むサーバーとのすべてのトランザクションが暗号化されていないため、安全でないプロトコルとみなされ、慎重に設定される必要があります。
Red Hat Enterprise Linux は 3 つの FTP サーバーを提供します。
- gssftpd - Kerberos 対応の xinetd- ネットワーク経由で認証情報を送信しない ベースの FTP デーモン。
- Red Hat Content Accelerator (tux) — FTP 機能を持つカーネルスペースの Web サーバー。
- vsftpd — スタンドアロンの、セキュリティー指向の FTP サービスの実装。
vsftpd FTP サービスをセットアップするためのセキュリティーガイドラインを以下に示します。
48.2.6.1. FTP グリーティングバナー
ユーザー名とパスワードを送信する前に、すべてのユーザーにグリーティングバナーが表示されます。デフォルトでは、このバナーには、システムの弱点を特定しようとするクラッカーに有用なバージョン情報が含まれています。
vsftpd のグリーティングバナーを変更するには、
/etc/vsftpd/vsftpd.conf ファイルに次のディレクティブを追加します。
ftpd_banner=<insert_greeting_here>
上記のディレクティブの <insert_greeting_here> をグリーティングメッセージのテキストで置き換えます。
複数行バナーの場合は、バナーファイルを使用することが推奨されます。複数のバナーの管理を簡単にするために、すべてのバナーを
/etc/banners/ という新しいディレクトリーに配置します。この例の FTP 接続のバナーファイルは /etc/banners/ftp.msg です。以下は、このようなファイルの例です。
######### # Hello, all activity on ftp.example.com is logged. #########
注記
「TCP Wrapper と接続バナー」 で指定されているように、ファイルの各行を 220 で始める必要はありません。
vsftpd のこのグリーティングバナーファイルを参照するには、以下のディレクティブを
/etc/vsftpd/vsftpd.conf ファイルに追加します。
banner_file=/etc/banners/ftp.msg
重要な影響
/etc/vsftpd/vsftpd.conf でバナーファイルへのパスを正しく指定しないと、vsftpd に接続しようとすると接続が即座に閉じられ、500 OOPS: cannot open banner < path_to_banner_file > エラーメッセージが表示されます。
/etc/vsftpd/vfsftpd.conf の banner_file ディレクティブは、設定ファイルの ftpd_banner ディレクティブよりも優先されることに注意してください。banner_file が指定されている場合は、ftpd_banner は無視されます。
また、「TCP Wrapper と接続バナー」 で説明されているように、TCP Wrappers を使用して着信接続に追加のバナーを送信することもできます。
