Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

21.2.2.3. TLS を使用した vsftpd 接続の暗号化

ユーザー名、パスワード、およびデータを暗号化せずに送信する FTP の本質的にセキュアでない性質に対照するために、vsftpd デーモンが TLS プロトコルを使用して接続を認証し、すべての送信を暗号化するように設定できます。TLS をサポートする FTP クライアントは、TLS が有効になっている vsftpd と通信する必要があることに注意してください。
注記
SSL (Secure Sockets Layer)は、セキュリティープロトコルの古い実装の名前です。新しいバージョンは TLS (Transport Layer Security)と呼ばれます。SSL にはセキュリティーに関する深刻な脆弱性があるため、新しいバージョン(TLS)のみを使用してください。vsftpd サーバーに付随するドキュメントや vsftpd.conf ファイルで使用される設定ディレクティブでは、セキュリティー関連の項目を参照する際に SSL 名を使用しますが、TLS はサポートされており、ssl_enable ディレクティブが YES に設定されているときにデフォルトで使用されています。
vsftpd.conf ファイルの ssl_enable 設定ディレクティブを YES に設定して、TLS サポートを有効にします。ssl_enable オプションが有効になっていると自動的にアクティブになる他の TLS関連のディレクティブのデフォルト設定により、合理的に適切に設定された TLS のセットアップが提供されます。これには、すべての接続に TLS v1 プロトコルのみを使用する要件(安全でない SSL プロトコルバージョンはデフォルトで無効になるなど)や、匿名以外のすべてのログインでパスワードおよびデータ送信での TLS の使用を強制することなどです。

例21.10 TLS を使用するように vsftpd の設定

以下の例では、設定ディレクティブは vsftpd.conf ファイルでセキュリティープロトコルの古い SSL バージョンを明示的に無効にします。
ssl_enable=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
設定を変更したら、vsftpd サービスを再起動します。
~]# service vsftpd restart
vsftpd による TLS の使用を微調整するための他の TLS関連の設定ディレクティブについては、vsftpd.conf(5) man ページを参照してください。また、一般的に使用されるその他の vsftpd.conf 設定ディレクティブの説明は、「vsftpd 設定オプション」 を参照してください。