Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.2.6. FTP のセキュア化

File Transfer Protocol (FTP) は旧式の TCP プロトコルで、ネットワーク上でファイル転送するために設計されています。ユーザー認証を含むサーバーとのトランザクションがすべて暗号化されないので、安全でないプロトコルとみなされ、慎重に設定する必要があります。
Red Hat Enterprise Linux は以下の 3 つの FTP サーバーを提供します。
  • gssftpd — Kerberos 対応の xinetd ベースの FTP デーモンで、ネットワーク上で認証情報を送信することはしません。
  • Red Hat Content Accelerator (tux) — FTP 機能のあるカーネル空間の Web サーバーです。
  • vsftpd — スタンドアロンでセキュリティ重視の FTP サービス実装です。
以下のセキュリティガイドラインは vsftpd FTP サービス設定のためのものです。

2.2.6.1. FTP グリーティングバナー

ユーザー名とパスワードの送信前に、すべてのユーザーにグリーティングバナーが示されます。デフォルトでは、このバナーにはシステムの脆弱性を特定しようとしているクラッカーに有益なバージョン情報が含まれています。
vsftpd のグリーティングバナーを変更するには、以下の指示文を /etc/vsftpd/vsftpd.conf ファイルに追加します。
ftpd_banner=<insert_greeting_here>
上記の指示文の <insert_greeting_here> をグリーティングメッセージのテキストで置き換えます。
複数行のバナーの場合、バナーファイルの使用が最善の方法となります。複数のバナーの管理を簡素化するには、/etc/banners/ という新規ディレクトリにすべてのバナーを格納します。この例では、FTP 接続のバナーファイルは、/etc/banners/ftp.msg となります。以下はこのファイルのサンプルになります。
######### Hello, all activity on ftp.example.com is logged. #########

注記

「TCP Wrapper と接続バナー」 にあるように、各行を 220 で始める必要はありません。
vsftpd でこのバナーを参照するようにするには、以下の指示文を /etc/vsftpd/vsftpd.conf ファイルに追加します。
banner_file=/etc/banners/ftp.msg
「TCP Wrapper と接続バナー」 にあるように、 TCP Wrapper を使って着信接続に新たなバナーを送信することも可能です。