SSL / TLSでvsFTPdを保護する方法

• vsFTPdのインストール
• 自己署名証明書を生成する
• vsFTPdに新しい証明書をインストールします
• インストールを確認

非常に安全なFTPデーモン、または単にvsFTPdは、カスタマイズする優れた機能を備えた軽量のソフトウェアです。このチュートリアルでは、独自の自己署名SSL / TLS証明書を使用して、Debianシステム上の既存のインストールを保護します。Debian用に書かれていますが、UbuntuやCentOSなど、ほとんどのLinuxディストリビューションで動作するはずです。

vsFTPdのインストール

新しいLinux VPSでは、まずvsFTPdをインストールする必要があります。このチュートリアルではvsFTPdをインストールする基本的な手順を説明しますが、Debian / UbuntuでのvsFTPdのセットアップとCentOSでのvsFTPdのインストールの 2つの詳細なチュートリアルも読むことをお勧めします。ここでは、インストールに関するすべての手順をより詳しく説明しています。

Debian / Ubuntuへのインストール：

apt-get install vsftpd

CentOSへのインストール：

yum install epel-release
yum install vsftpd

設定 設定ファイルを開きます：/etc/vsftpd.confをお気に入りのテキストエディターで開きますnano。このチュートリアルではを使用します。

nano /etc/vsftpd.conf

次の行を構成に貼り付けます。

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

vsFTPdデーモンを再起動して終了します。

/etc/init.d/vsftpd restart

これで、FTP経由でローカルユーザーとしてログインできるようになりました。次に、このソフトウェアを保護します。

自己署名証明書を生成する

自己署名証明書は通常、公開鍵合意プロトコルで使用opensslされます。ここで、公開鍵と対応する秘密鍵の生成に使用します。まず、これらの2つのキーファイルを格納するディレクトリを作成する必要があります。できれば、通常のユーザーがアクセスできない安全な場所に保管する必要があります。

mkdir -p /etc/vsftpd/ssl

証明書を実際に生成するために、両方のキーを同じファイル（/etc/vsftpd/ssl/vsftpd.pem）に保存します。

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/vsftpd/ssl/vsftpd.pem -out /etc/vsftpd/ssl/vsftpd.pem

コマンドを実行すると、国コード、州、都市、組織名などのいくつかの質問が表示されます。自分または組織の情報を使用してください。ここで最も重要な行は、VPSのIPアドレスと一致する必要がある共通名、またはそれを指すドメイン名です。

この証明書は365日間（約1年）有効で、キーの長さが4096ビットのRSAキー合意プロトコルを使用します。両方のキーを含むファイルは、先ほど作成した新しいディレクトリに保存されます。キーの長さとセキュリティとの関係の詳細については、「暗号化IIの推奨事項」を参照してください。

vsFTPdに新しい証明書をインストールします

新しい証明書の使用を開始して暗号化を提供するには、構成ファイルを再度開く必要があります。

nano /etc/vsftpd.conf

新しい証明書とキーファイルへのパスを追加する必要があります。それらは同じファイルに保存されているため、構成内でも同じである必要があります。

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem

SSLが有効になるようにするには、次の行を追加する必要があります。

ssl_enable=YES

パブリックFTPサーバーでは暗号化は必要ないため、匿名ユーザーがSSLを使用できないようにすることもできます。

allow_anon_ssl=NO

次に、SSL / TLSをいつ使用するかを指定する必要があります。これにより、データ転送とログイン資格情報の両方の暗号化が有効になります

force_local_data_ssl=YES
force_local_logins_ssl=YES

使用するバージョンとプロトコルも指定できます。TLSは一般にSSLよりも安全であるため、TLSを許可し、同時に古いバージョンのSSLをブロックする場合があります。

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

SSLの再利用を要求し、高度な暗号を使用することもセキュリティの向上に役立ちます。vsFTPdのmanページから：

require_ssl_reuse yesに設定すると、SSLセッションの再利用を示すためにすべてのSSLデータ接続が必要になります（コントロールチャネルと同じマスターシークレットを知っていることが証明されます）。これは安全なデフォルトですが、多くのFTPクライアントを破壊する可能性があるため、無効にすることができます。結果の説明については、http：//scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html（v2.1.0で追加）を参照してください。

ssl_ciphers このオプションを使用して、vsftpdが暗号化されたSSL接続を許可するSSL暗号を選択できます。詳細は、ciphersのマニュアルページを参照してください。悪意のあるリモートパーティが問題を発見した暗号を強制するのを防ぐため、暗号を制限することは、セキュリティ対策として役立ちます。

require_ssl_reuse=YES
ssl_ciphers=HIGH

vsftpdデーモンを再起動して終了します

/etc/init.d/vsftpd restart

インストールを確認

これで、サーバーに接続し、すべてが機能することを確認できます。FileZillaを使用している場合、接続時に組織情報（または以前に証明書を生成したときに入力したもの）を含むダイアログが開きます。出力は次のようになります。

Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.

vsFTPdの詳細については、マニュアルページをご覧ください。

man vsftpd