vsFTPdでFTPサーバを作ろう!
ここでは、vsftpdのインストール手順を掲載しています。
※CentOS 7のサポートは2024年6月をもって終了していますが、旧コンテンツとしてこちらのページは残しておきます。
vsftpdとは…?
vsftpdは"Very Secure FTP Daemon"の略で、その名の通り、セキュリティに重点を置いて作られたFTPサーバです。
vsftpdのインストール
[root@co7 ~]# yum -y install vsftpd
インストール:
vsftpd.x86_64 0:3.0.2-29.el7_9
完了しました!
vsftpdの設定
続いて設定を行います。
ここでは誰でも接続可能なAnonymous FTPではなく、ユーザごとにログイン可能なFTPサーバを構築します。
[root@co7 ~]# vi /etc/vsftpd/vsftpd.conf
anonymous_enable=YES
↓
anonymous_enable=NO
#xferlog_file=/var/log/xferlog
↓
xferlog_file=/var/log/vsftpd.log
#ascii_upload_enable=YES
#ascii_download_enable=YES
↓
ascii_upload_enable=YES
ascii_download_enable=YES
#ftpd_banner=Welcome to blah FTP service.
↓
ftpd_banner=Welcome to mhserv FTP service.
#chroot_local_user=YES
#chroot_list_enable=YES
↓
chroot_local_user=YES
chroot_list_enable=YES
#chroot_list_file=/etc/vsftpd/chroot_list
↓
chroot_list_file=/etc/vsftpd/chroot_list
#ls_recurse_enable=YES
↓
ls_recurse_enable=YES
ftpd_bannerは、FTPに接続した時に表示されるもので、自由に設定が可能です。vsftpdのバージョン情報を隠す役割もあります。
更に、設定ファイルの最後尾に以下を追記していきます。
local_root=public_html
use_localtime=YES
#パッシブ接続を行う場合、以下を追記
pasv_promiscuous=YES
pasv_min_port=64000
pasv_max_port=64029
pasv_addr_resolve=YES
#LAN内にDNSサーバを構築している場合のみ追記
pasv_address=取得した別のドメイン (mhserv.mydns.jpなど)
FTPサーバにログインしたユーザは、local_rootで設定したディレクトリよりも上の階層に進むことはできません。
pasv…は、パッシブ接続をしたい場合に追記します。FTPサーバでは通常、20番、21番ポートを使って通信を行いますが、パッシブ接続では特定のポートではなく、その他の適当なポートを用いて通信を行います。
もし、LAN内用のDNSサーバを構築している、あるいは構築する予定がある場合、サーバのグローバルアドレスが取得可能な別のドメインをpasv_addressで指定する必要があるので、ドメインが2つ必要になります。
パッシブ接続で使用するポートの範囲をpasv_min_port、pasv_max_portで設定します。
通信の暗号化(FTPS)
FTP通信の暗号化を行う場合、更に以下を追記します。
この場合、事前にSSLの設定を行っておく必要があります。
今回は、Let's Encryptを使って証明書を発行したものとして話を進めます。自己発行の証明書の場合は各自ファイル名等を読み替えてください。
ssl_enable=YES
rsa_cert_file=/etc/letsencrypt/live/mhserv.info/fullchain.pem
rsa_private_key_file=/etc/letsencrypt/live/mhserv.info/privkey.pem
ssl_sslv2=NO
ssl_sslv3=NO
ssl_tlsv1=YES
require_ssl_reuse=NO
# 暗号化しない通信も許可する場合、以下を追記
force_local_logins_ssl=NO
force_local_data_ssl=NO
暗号化した通信のみ行いたい場合、force_local_logins_sslとforce_local_data_sslをYESにします。
上位層へ移動可能なユーザの登録
もしlocal_rootで設定したディレクトリよりも上の階層に進むことのできるユーザ(ここではuser)を登録する場合、以下のようにします。
[root@co7 ~]# echo user >> /etc/vsftpd/chroot_list
Exec-Shieldを無効化
Exec-Shield(バッファオーバーフロー対策)が有効になっていると、vsftpdがきちんと動作しない場合があるため、vsftpdに対してのみ無効化します。
まずは設定に必要なexecstackをインストールしましょう。
[root@co7 ~]# yum -y install prelink
インストール:
prelink.x86_64 0:0.5.0-9.el7
完了しました!
続いて、vsftpdに対するExec-Shieldを無効化します。
[root@co7 ~]# execstack -q /usr/sbin/vsftpd
- /usr/sbin/vsftpd
[root@co7 ~]# execstack -s /usr/sbin/vsftpd
[root@co7 ~]# execstack -q /usr/sbin/vsftpd
X /usr/sbin/vsftpd
Xが付いていてば設定完了です。
ファイアウォールの設定
最後に、ファイアウォールの設定を行います。
FTPサーバへアクセスできるよう、ファイアウォールで許可をしてあげます。
パッシブ接続で使用するポートについては、vsftpdに設定のものを指定してください。
[root@co7 ~]# firewall-cmd --permanent --add-service=ftp
[root@co7 ~]# firewall-cmd --permanent --add-port=989-990/tcp
[root@co7 ~]# firewall-cmd --permanent --add-port=64000-64029/tcp
success
[root@co7 ~]# firewall-cmd --reload
success
vsftpdの起動
[root@co7 ~]# systemctl enable --now vsftpd
Created symlink from /etc/systemd/system/multi-user.target.wants/vsftpd.service to /usr/lib/systemd/system/vsftpd.service.
[root@co7 ~]# systemctl status vsftpd
● vsftpd.service - Vsftpd ftp daemon Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; enabled; vendor preset: disabled) Active: active (running) since 日 2024-07-07 23:08:05 JST; 15s ago Process: 8389 ExecStart=/usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf (code=exited, status=0/SUCCESS) Main PID: 8390 (vsftpd) CGroup: /system.slice/vsftpd.service mq8390 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
参考にしたサイト様
CentOSサーバー構築マニュアル - vsftpd インストール
Crimson Snow - CentOSによる自宅サーバの構築 - バッファオーバーフロー対策(Exec-Shield)
[広告]
トップページ
CentOS 7
○準備
○仮想化準備(VMware)
○仮想化準備(Hyper-V)
○仮想化準備(Proxmox)
○基本操作
○導入
○セキュリティ対策
○Dynamic DNS
○NTPサーバ
○データベース
○WEBサーバ
○FTPサーバ
○メールサーバ
○DNSサーバ
○ブログシステム
○オンラインストレージ
○その他