26.2.4. TLS を使用した vsftpd 接続の暗号化
ユーザー名、パスワード、およびデータを暗号化せずに送信する
FTP の本質的に安全でない性質に対照するために、vsftpd デーモンは TLS プロトコルを使用して接続を認証し、すべての転送を暗号化するように設定できます。TLS をサポートする FTP クライアントは、TLS が有効になっている vsftpd と通信する必要があります。
注記
SSL (Secure Sockets Layer)は、セキュリティープロトコルの古い実装の名前です。新しいバージョンは TLS (Transport Layer Security)と呼ばれます。SSL には深刻なセキュリティー脆弱性があるため、新しいバージョン(TLS)のみを使用する必要があります。vsftpd サーバーに含まれるドキュメントや、vsftpd.conf ファイルで使用される設定ディレクティブは、セキュリティー関連の項目を参照する際に SSL 名を使用しますが、TLS はサポートされており、ssl_enable ディレクティブが YES に設定されている場合にデフォルトで使用されます。
vsftpd.conf ファイルの ssl_enable 設定ディレクティブを YES に設定して、TLS サポートを有効にします。ssl_enable オプションが有効な場合に自動的にアクティブになる他の TLS関連のディレクティブのデフォルト設定では、合理的に適切に設定された TLS のセットアップが提供されます。これには、全接続に TLS v1 プロトコルのみを使用する(安全でない SSL プロトコルバージョンの使用がデフォルトで無効)、匿名以外のすべてのログインがパスワードやデータ転送の送信に TLS を使用するように強制することなどが挙げられます。
例26.1 TLS を使用するように vsftpd の設定
以下の例では、設定ディレクティブは
vsftpd.conf ファイルでセキュリティープロトコルの古い SSL バージョンを明示的に無効にします。
ssl_enable=YES ssl_tlsv1=YES ssl_sslv2=NO ssl_sslv3=NO
設定を変更したら、
vsftpd サービスを再起動します。
~]# service vsftpd restartvsftpd による TLS の使用を調整するための他の TLS関連の設定ディレクティブについては、vsftpd.conf(5) の man ページを参照してください。また、一般的に使用されるその他の vsftpd.conf 設定ディレクティブの説明は、「vsftpd 設定オプション」 を参照してください。
