CentOS 7 で安全にファイルをアップロード、SSLを利用したFTPサーバーを導入する

2018/04/23 CentOS, Linux, サーバー構築

前回の記事「CentOS 7 への Apacheインストール。最短でウェブサーバーを構築してテストページを表示する。」でウェブサーバー環境が完成しました。続いてウェブサーバーへコンテンツをアップロードするためにFTPサーバーのセットアップ手順を紹介します。SSHが利用できる環境ならSFTP（FTPと付いてますが、SSH通信上でファイル転送を行うための機能になります。）を利用することも可能ですが、現状ではコンテンツのアップロードにFTPを利用することが多いかと思います。
FTPはファイルの転送に利用する通信です。そのままだとスニッファ（盗聴）などでファイルの内容が見えてしまう可能性もありますので、本記事ではセキュアなFTPS（SSLで暗号化されたFTP通信）を利用するように設定を行います。

目次 [非表示]

１．FTPサーバーを導入する環境
２．ftpパッケージの確認
- ２－１．パッケージ確認
３．vsftpdパッケージのインストール
４．vsftpdの設定ファイル変更
- ４－１．vsftpd.confの変更
- ４－２．chroot用ファイルの作成
５．firewallの許可設定
- ５－１．firewall-cmdコマンドによるパッシブFTP接続ポートのオープン
- ５－２．iptablesコマンドによるパッシブFTP接続用ポートのオープン
６．FTPS（FTP通信を暗号化する）設定
- ６－１．サーバー証明書の作成
- ６－２．vsftpdの再起動
７．FTPの接続確認
- ７－１．ffftpでの接続

１．FTPサーバーを導入する環境

FTPサーバーを導入する環境は、以前の記事「CentOS 7 への Apacheインストール。最短でウェブサーバーを構築してテストページを表示する。」で作成したウェブサーバーになります。
以前の記事に詳細な環境は記載していますが、基本的な環境は以下の通りです。

OSのバージョンはCentOSで最新のバージョン7.4を利用しています。
CentOS 7系であれば、どのバージョンでも同じ手順で構築が可能です。
サーバーはインターネットへ接続されており、グローバルIPアドレスが一つ、割り当てられています。
ウェブサーバーとしてhttpdがインストールされています。
ファイアウォールとしてfirewalld、若しくはiptablesを設定しています。

この環境を前提に先へ進めて行きます。

２．ftpパッケージの確認

CentOSの標準レポジトリに含まれるftpパッケージを確認します。CentOSでは標準でvsftpdというftpサーバが用意されています。インストール前にパッケージの情報を表示して、想定しているものと合致していることを確認します。

２－１．パッケージ確認

CentOSに含まれるvsftpdと名前の付くパッケージのリストを確認します。パッケージリストの確認は、yumコマンドにオプションのsearchを付けて実行します。

$ yum search vsftpd
読み込んだプラグイン:fastestmirror
Loading mirror speeds from cached hostfile
 * base: ftp.yz.yamagata-u.ac.jp
 * extras: ftp.yz.yamagata-u.ac.jp
 * updates: ftp.yz.yamagata-u.ac.jp
================================================= N/S matched: vsftpd ==================================================
vsftpd-sysvinit.x86_64 : SysV initscript for vsftpd daemon
vsftpd.x86_64 : Very Secure Ftp Daemon

  Name and summary matches only, use "search all" for everything.

$ yum search vsftpd

読み込んだプラグイン:fastestmirror

Loading mirror speeds from cached hostfile

* base: ftp.yz.yamagata-u.ac.jp

* extras: ftp.yz.yamagata-u.ac.jp

* updates: ftp.yz.yamagata-u.ac.jp

================================================= N/S matched: vsftpd ==================================================

vsftpd-sysvinit.x86_64 : SysV initscript for vsftpd daemon

vsftpd.x86_64 : Very Secure Ftp Daemon

Name and summary matches only, use "search all" for everything.

この中でftpサービスに該当するパッケージはvsftpdになりますので、これをインストールします。
インストール前に間違いないか、念のためにvsftpdのパッケージ詳細を確認します。

$ yum info vsftpd
読み込んだプラグイン:fastestmirror
Loading mirror speeds from cached hostfile
 * base: ftp.yz.yamagata-u.ac.jp
 * extras: ftp.yz.yamagata-u.ac.jp
 * updates: ftp.yz.yamagata-u.ac.jp
利用可能なパッケージ
名前                : vsftpd
アーキテクチャー    : x86_64
バージョン          : 3.0.2
リリース            : 22.el7
容量                : 169 k
リポジトリー        : base/7/x86_64
要約                : Very Secure Ftp Daemon
URL                 : https://security.appspot.com/vsftpd.html
ライセンス          : GPLv2 with exceptions
説明                : vsftpd is a Very Secure FTP daemon. It was written completely from
                    : scratch.

$ yum info vsftpd

読み込んだプラグイン:fastestmirror

Loading mirror speeds from cached hostfile

* base: ftp.yz.yamagata-u.ac.jp

* extras: ftp.yz.yamagata-u.ac.jp

* updates: ftp.yz.yamagata-u.ac.jp

利用可能なパッケージ

名前 : vsftpd

アーキテクチャー : x86_64

バージョン : 3.0.2

リリース : 22.el7

容量 : 169 k

リポジトリー : base/7/x86_64

要約 : Very Secure Ftp Daemon

URL : https://security.appspot.com/vsftpd.html

ライセンス : GPLv2 with exceptions

説明 : vsftpd is a Very Secure FTP daemon. It was written completely from

: scratch.

vsftpdサービスのパッケージであることが確認できましたので、このパッケージをインストールします。

３．vsftpdパッケージのインストール

項目２．で確認したvsftpdパッケージをyumコマンドでインストールする手順を記載していきます。

３－１．yumコマンドによるvsftpのインストール

vsftpdパッケージはyumコマンドに”install”オプションを付けることでインストールすることができます。

# yum -y install vsftpd

1	# yum -y install vsftpd

上記ではyumコマンドに-yオプションを付けることでインストール時の確認応答を省いています。コマンドを実行すると、以下のようにインストールが開始されます。

読み込んだプラグイン:fastestmirror
Loading mirror speeds from cached hostfile
 * base: ftp.yz.yamagata-u.ac.jp
 * extras: ftp.yz.yamagata-u.ac.jp
 * updates: ftp.yz.yamagata-u.ac.jp
依存性の解決をしています
--> トランザクションの確認を実行しています。
---> パッケージ vsftpd.x86_64 0:3.0.2-22.el7 を インストール
--> 依存性解決を終了しました。

依存性を解決しました

========================================================================================================================================
 Package                        アーキテクチャー               バージョン                            リポジトリー                  容量
========================================================================================================================================
インストール中:
 vsftpd                         x86_64                         3.0.2-22.el7                          base                         169 k

トランザクションの要約
========================================================================================================================================
インストール  1 パッケージ

総ダウンロード容量: 169 k
インストール容量: 348 k
Downloading packages:
vsftpd-3.0.2-22.el7.x86_64.rpm                                                                                   | 169 kB  00:00:00     
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  インストール中          : vsftpd-3.0.2-22.el7.x86_64 [                                                                          
  検証中                  : vsftpd-3.0.2-22.el7.x86_64                                                                              1/1 

インストール:
  vsftpd.x86_64 0:3.0.2-22.el7                                                                                                          

完了しました!

読み込んだプラグイン:fastestmirror

Loading mirror speeds from cached hostfile

* base: ftp.yz.yamagata-u.ac.jp

* extras: ftp.yz.yamagata-u.ac.jp

* updates: ftp.yz.yamagata-u.ac.jp

依存性の解決をしています

--> トランザクションの確認を実行しています。

---> パッケージ vsftpd.x86_64 0:3.0.2-22.el7 をインストール

--> 依存性解決を終了しました。

依存性を解決しました

========================================================================================================================================

Package アーキテクチャーバージョンリポジトリー容量

========================================================================================================================================

インストール中:

vsftpd x86_64 3.0.2-22.el7 base 169 k

トランザクションの要約

========================================================================================================================================

インストール 1 パッケージ

総ダウンロード容量: 169 k

インストール容量: 348 k

Downloading packages:

vsftpd-3.0.2-22.el7.x86_64.rpm | 169 kB 00:00:00

Running transaction check

Running transaction test

Transaction test succeeded

Running transaction

インストール中 : vsftpd-3.0.2-22.el7.x86_64 [

検証中 : vsftpd-3.0.2-22.el7.x86_64 1/1

インストール:

vsftpd.x86_64 0:3.0.2-22.el7

完了しました!

エラーの出力がなく、「完了しました！」と表示されれば、vsftpdのインストールは正常に完了しています。

３－２．vsftpdインストール後の確認

vsftpdがインストールされたことを確認します。インストールされているパッケージはyumコマンドで確認できます。以下のようにyumを実行することで、vsftpdパッケージがインストールされていることを確認します。

$ yum list installed | grep vsftpd

1	$ yum list installed \| grep vsftpd

出力結果として、以vsftpdパッケージが表示されることを確認します。

vsftpd.x86_64                           3.0.2-22.el7                   @base

1	vsftpd.x86_64 3.0.2-22.el7 @base

続いてvsftpdがインストールされた場所を確認します。インストールされた場所（パス）を確認するためにはwhichコマンドを利用します。以下のように実行することでインストールパスを確認できます。

$ which vsftpd

1	$ which vsftpd

実行結果は以下のようになります。

/usr/sbin/vsftpd

1	/usr/sbin/vsftpd

この結果から、vsftpdが/usr/sbin以下にインストールされたことが確認できます。
これでvsftpdのインストールが正常に終了したことが確認できました。

３－３．vsftpdの起動と確認

ここまででvsftpdのインストールと確認が完了しましたので、続いてインストールしたvsftpdが起動することを確認します。CentOSでは7系からsystemctlコマンドでサービスの起動・停止を行います。vsftpdは以下のように実行することで起動できます。

# systemctl start vsftpd

1	# systemctl start vsftpd

エラーが出力されなければ、vsftpdは正常に起動しています。
systemctlコマンドにstatusオプションを付けて実行することで、起動したサービスの状態について、詳細な情報を取得することができます。以下が実行例です。

$ systemctl status vsftpd
● vsftpd.service - Vsftpd ftp daemon
   Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; disabled; vendor preset: disabled)
   Active: active (running) since 火 2018-04-03 11:25:53 JST; 9s ago
  Process: 1871 ExecStart=/usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf (code=exited, status=0/SUCCESS)
 Main PID: 1872 (vsftpd)
   CGroup: /system.slice/vsftpd.service
           mq1872 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

 4月 03 11:25:53 www systemd[1]: Starting Vsftpd ftp daemon...
 4月 03 11:25:53 www systemd[1]: Started Vsftpd ftp daemon.

$ systemctl status vsftpd

● vsftpd.service - Vsftpd ftp daemon

Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; disabled; vendor preset: disabled)

Active: active (running) since 火 2018-04-03 11:25:53 JST; 9s ago

Process: 1871 ExecStart=/usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf (code=exited, status=0/SUCCESS)

Main PID: 1872 (vsftpd)

CGroup: /system.slice/vsftpd.service

mq1872 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

4月 03 11:25:53 www systemd[1]: Starting Vsftpd ftp daemon...

4月 03 11:25:53 www systemd[1]: Started Vsftpd ftp daemon.

上記では分かり難いかもしれませんが、黒丸（●）の部分が正常な起動状態の場合、緑色で表示されます。
また、Activeの項目にrunningと表示されていることから、vsftpdが起動していることが確認できます。
稼働しているプロセスを表示するpsコマンドでもvsftpdが起動していることを確認できます。
以下のように実行します。

$ ps -aux | grep vsftpd
root      1872  0.0  0.0  53212   576 ?        Ss   11:25   0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
root      1903  0.0  0.0 112676   980 pts/0    R+   11:27   0:00 grep --color=auto vsftpd

$ ps -aux | grep vsftpd

root 1872 0.0 0.0 53212 576 ? Ss 11:25 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

root 1903 0.0 0.0 112676 980 pts/0 R+ 11:27 0:00 grep --color=auto vsftpd

以上の結果から、vsftpdが正常に起動することが確認できました。

３－４．vsftpdのスタートアップ設定（自動起動設定）

サーバーの再起動や停止の復旧時に、vsftpdが自動的に起動するように設定します。サービスの自動起動を設定するにもsystemctlコマンドを利用します。自動起動は以下のようにsystemctlコマンドを実行します。

# systemctl enable vsftpd
Created symlink from /etc/systemd/system/multi-user.target.wants/vsftpd.service to /usr/lib/systemd/system/vsftpd.service.

1 2	# systemctl enable vsftpd Created symlink from /etc/systemd/system/multi-user.target.wants/vsftpd.service to /usr/lib/systemd/system/vsftpd.service.

エラーが出力されなければ、自動起動は設定が完了しています。

続いて自動起動が設定されたことを確認します。こちらもsystemctlコマンドから確認できます。

$ systemctl list-unit-files | grep vsftpd
vsftpd.service                                enabled

1 2	$ systemctl list-unit-files \| grep vsftpd vsftpd.service enabled

実行結果として “enabled”と表示されればvsftpdの自動起動設定は完了です。

４．vsftpdの設定ファイル変更

項目３．の手順までで、vsftpdパッケージの導入までが完了しました。vsftpdの場合は設定の変更を行わないとFTP接続できない場合（firewallによって拒否されたり、パッシブ接続が有効になっていないなど）があります。本記事ではvsftpdを運用するにあたって最低限、必要になる設定を行います。設定の前提は以下の通りです。

FTPユーザーは、自身のホームディレクトリ以上に移動できない (chroot設定）
アノニマス（不特定なユーザー）FTPは利用しない
FTPはSSL通信で行う（FTPS設定)
.（ドット）の付いた隠しファイルを表示する
インターネット経由での接続を考え、パッシブFTPの設定を行う（接続ポートは60001から60010に固定）
その他、基本的に行ったほうが良い設定の変更

この条件に合わせて設定を行っていきます。

４－１．vsftpd.confの変更

vsftpdの設定は/etc/vsftpd以下にあるvsftpd.confで行います。
vsftpd.confの編集前に、既存のファイルをバックアップしておきます。具体的には以下の手順でコピーを行います。

# cd /etc/vsftpd/
# cp -p vsftpd.conf vsftpd.conf.org

1 2	# cd /etc/vsftpd/ # cp -p vsftpd.conf vsftpd.conf.org

バックアップ（コピー）の完了後、エディタで設定ファイルを開いて変更を行います。本環境ではOSの標準的なエディタである、viエディタを利用しています。

# vi vsftpd.conf

1	# vi vsftpd.conf

４－１－１．アノニマスFTPの無効化

anonymous_enable=YES

1	anonymous_enable=YES

を

anonymous_enable=NO

1	anonymous_enable=NO

に変更します。

４－１－２．asciiアップロード、ダウンロードの有効化

#ascii_upload_enable=YES
#ascii_download_enable=YES

1 2	#ascii_upload_enable=YES #ascii_download_enable=YES

のコメントを外します。

ascii_upload_enable=YES
ascii_download_enable=YES

1 2	ascii_upload_enable=YES ascii_download_enable=YES

４－１－３．chroot設定

ユーザーを自身のホームディレクトリ以上に移動できないようにchroot設定を行います。

#chroot_local_user=YES
#chroot_list_enable=YES

1 2	#chroot_local_user=YES #chroot_list_enable=YES

からコメントを外して

chroot_local_user=YES
chroot_list_enable=YES

1 2	chroot_local_user=YES chroot_list_enable=YES

に変更します。
併せてchrootを許可するリストを指定します。

#chroot_list_file=/etc/vsftpd/chroot_list

1	#chroot_list_file=/etc/vsftpd/chroot_list

からコメントを外して

chroot_list_file=/etc/vsftpd/chroot_list

1	chroot_list_file=/etc/vsftpd/chroot_list

に変更します。

４－１－４．ls有効化設定

ls -R を有効にする設定を行います。

#ls_recurse_enable=YES

1	#ls_recurse_enable=YES

からコメントを外して

ls_recurse_enable=YES

1	ls_recurse_enable=YES

に変更します。

４－１－５．SSL通信有効化の設定

SSLでFTP接続ができるように設定を行います。この項目は設定ファイルにはありませんので
項目を追記してください。
以下を追加します。

# ssl settings
ssl_enable=YES
rsa_cert_file=/etc/pki/tls/certs/vsftpd.pem

# ssl settings

ssl_enable=YES

rsa_cert_file=/etc/pki/tls/certs/vsftpd.pem

SSL機能を有効化するための項目と、SSL通信で利用するサーバー証明書ファイルのパスを設定します。

４－１－６．パッシブポートの設定

パッシブFTPが利用できるように、ポートを固定します。

# other settings
 pasv_min_port=60001
 pasv_max_port=60010

# other settings

pasv_min_port=60001

pasv_max_port=60010

４－１－７．その他の設定

FTPの運用に設定しておいたほうが良い点について、項目を追加します。
この設定は、パッシブポートの設定の下に記載する形にしています。以下を設定ファイルの最下行に追記します。

 use_localtime=YES
 allow_writeable_chroot=YES
 force_dot_files=YES

use_localtime=YES

allow_writeable_chroot=YES

force_dot_files=YES

ここまでの７点で設定ファイルの変更は完了です。変更したファイルを保存してください。

４－２．chroot用ファイルの作成

続いてchrootを行うための空ファイルを作成します。実際にはホームディレクトリ以上に移動できるユーザーを記載するファイルですが、全てのユーザーはホームディレクトリ以上に移動できない設定のため、空のファイルを作成するだけで問題ありません。
空のファイルはtouchコマンドで作成します。作成するファイル名は”chroot_list”になります。
以下のようにコマンドを実行します。

# touch chroot_list

1	# touch chroot_list

作成後、ファイルを確認します。

# ls
chroot_list  ftpusers  user_list  vsftpd.conf  vsftpd.conf.org  vsftpd_conf_migrate.sh

1 2	# ls chroot_list ftpusers user_list vsftpd.conf vsftpd.conf.org vsftpd_conf_migrate.sh

作成した chroot_listファイルがlsコマンドで表示されれば、作成は完了です。

５．firewallの許可設定

本記事は、FTPサーバーの導入環境として、記事「CentOS7の基本設定 Linuxのインストール後に設定する９つのポイント」の項目６．で記載したfirewall設定を行っていることを前提としています。
このfirewall設定の場合、FTPのパッシブ接続ポートである60001～60010番をオープンしていないため、インターネット側からFTPでアクセスしても接続できません。(ローカル環境の場合はパッシブFTPを利用しないため、接続できます。）
その為、firewall-cmdコマンドを利用してルールを追加し、パッシブFTP接続できるようします。
※iptablesを利用している場合は、項目５－２．を参照して設定を行って下さい。

５－１．firewall-cmdコマンドによるパッシブFTP接続ポートのオープン

記事「CentOS 7 インストール Linuxを始めるにはインストールからがお勧め」で作成した”manage”というzoneにパッシブ接続用ポートの設定を追加します。

５－１－１．現状の設定確認

先ずは現状の確認を行います。

# firewall-cmd --list-all --zone=manage
manage (active)
  target: ACCEPT
  icmp-block-inversion: no
  interfaces:
  sources: 111.8.21.167/32
  services: ssh ftp
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

# firewall-cmd --list-all --zone=manage

manage (active)

target: ACCEPT

icmp-block-inversion: no

interfaces:

sources: 111.8.21.167/32

services: ssh ftp

ports:

protocols:

masquerade: no

forward-ports:

source-ports:

icmp-blocks:

rich rules:

上記のように 111.8.21.167のIPアドレスからのみ、sshとftpを許可するように設定されていることを確認します。

５－１－２．パッシブ接続用ポートの許可

firewall-cmdコマンドでウェブサーバーの待ち受けポートである80番に外部から接続できるように設定を追加します。コマンドは以下のように実行します。

# firewall-cmd --add-port=60001-60010/tcp --zone=manage --permanent
success

1 2	# firewall-cmd --add-port=60001-60010/tcp --zone=manage --permanent success

上記はmanageゾーンに対して、60001-60010のtcpポートを接続用ポートとして追加するというコマンドです。
基本的にはfirewall-cmdは実行結果として”success”と応答があれば、設定は正常に完了しています。（以下も同様です。）

５－１－３．設定の反映

設定した内容を反映するためにreloadを実行します。

# firewall-cmd --reload
success

1 2	# firewall-cmd --reload success

５－１－４．設定の確認

設定の確認は以下のコマンドで行います

# firewall-cmd --list-all --zone=manage
manage (active)
  target: ACCEPT
  icmp-block-inversion: no
  interfaces:
  sources: 111.8.21.167/32
  services: ssh ftp
  ports: 60001-60010/tcp
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

# firewall-cmd --list-all --zone=manage

manage (active)

target: ACCEPT

icmp-block-inversion: no

interfaces:

sources: 111.8.21.167/32

services: ssh ftp

ports: 60001-60010/tcp

protocols:

masquerade: no

forward-ports:

source-ports:

icmp-blocks:

rich rules:

表示された結果の”ports”項目に”60001-60010/tcp”が追加されていれば、設定の確認は完了です。

５－２．iptablesコマンドによるパッシブFTP接続用ポートのオープン

iptablesコマンドでパッシブFTP接続用ポートある60001-60010番に外部から接続できるように設定を追加します。コマンドは以下のように実行します。

# iptables -A INPUT -s 111.8.21.167 -p tcp -m tcp --dport 60001:60010 -j ACCEPT

1	# iptables -A INPUT -s 111.8.21.167 -p tcp -m tcp --dport 60001:60010 -j ACCEPT

エラーが表示されなければ設定は完了しています。
iptablesコマンドを実行後に設定が追加されていることを確認します。確認は以下のように実行します。

# iptables L -n --line-number

1	# iptables L -n --line-number

以下が実行結果の例になります。

Chain INPUT (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
4    ACCEPT     tcp  --  111.8.21.167         0.0.0.0/0            tcp dpt:20
5    ACCEPT     tcp  --  111.8.21.167         0.0.0.0/0            tcp dpt:21
6    ACCEPT     tcp  --  111.8.21.167         0.0.0.0/0            tcp dpt:22
7    ACCEPT     tcp  --  111.8.21.167         0.0.0.0/0            tcp dpt:80
8    ACCEPT     tcp  --  111.8.21.167         0.0.0.0/0            tcp dpts:60001:60010

Chain FORWARD (policy DROP)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain INPUT (policy DROP)

num target prot opt source destination

1 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0

2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

4 ACCEPT tcp -- 111.8.21.167 0.0.0.0/0 tcp dpt:20

5 ACCEPT tcp -- 111.8.21.167 0.0.0.0/0 tcp dpt:21

6 ACCEPT tcp -- 111.8.21.167 0.0.0.0/0 tcp dpt:22

7 ACCEPT tcp -- 111.8.21.167 0.0.0.0/0 tcp dpt:80

8 ACCEPT tcp -- 111.8.21.167 0.0.0.0/0 tcp dpts:60001:60010

Chain FORWARD (policy DROP)

num target prot opt source destination

Chain OUTPUT (policy ACCEPT)

num target prot opt source destination

Chain INPUTの８行目に設定を行った60001-60010番ポートが追加されていることが確認できます。設定を確認後、保存を行います。保存は

# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]

1 2	# service iptables save iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]

で行います。上記のように[OK]が表示されれば正常に設定は保存されています。これでiptablesによるfirewallの設定は完了です。

６．FTPS（FTP通信を暗号化する）設定

続いてFTPの通信を暗号化するためにSSLの設定を行います。SSLを利用するためには、SSL証明書ファイルの作成が必要になります。この手順について記載していきます。

６－１．サーバー証明書の作成

SSL通信を行うために証明書ファイルを作成します。ここで作成したファイルはvsftpd.confの”rsa_cert_file=/etc/pki/tls/certs/vsftpd.pem”で指定しています。証明書ファイルを作成するディレクトリに移動します。

#  cd /etc/pki/tls/certs/

1	# cd /etc/pki/tls/certs/

６－１－１．証明書ファイル作成コマンドの実行

makeコマンドで証明書ファイルを作成します。以下が実行例になります。

# make vsftpd.pem
umask 77 ; \
PEM1=`/bin/mktemp /tmp/openssl.XXXXXX` ; \
PEM2=`/bin/mktemp /tmp/openssl.XXXXXX` ; \
/usr/bin/openssl req -utf8 -newkey rsa:2048 -keyout $PEM1 -nodes -x509 -days 365 -out $PEM2  ; \
cat $PEM1 >  vsftpd.pem ; \
echo ""    >> vsftpd.pem ; \
cat $PEM2 >> vsftpd.pem ; \
rm -f $PEM1 $PEM2
Generating a 2048 bit RSA private key
.......+++
..................................+++
writing new private key to '/tmp/openssl.loJgEq'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----

# make vsftpd.pem

umask 77 ; \

PEM1=`/bin/mktemp /tmp/openssl.XXXXXX` ; \

PEM2=`/bin/mktemp /tmp/openssl.XXXXXX` ; \

/usr/bin/openssl req -utf8 -newkey rsa:2048 -keyout $PEM1 -nodes -x509 -days 365 -out $PEM2 ; \

cat $PEM1 > vsftpd.pem ; \

echo "" >> vsftpd.pem ; \

cat $PEM2 >> vsftpd.pem ; \

rm -f $PEM1 $PEM2

Generating a 2048 bit RSA private key

.......+++

..................................+++

writing new private key to '/tmp/openssl.loJgEq'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

６－１－２．証明書ファイル用の情報を入力

証明書ファイルを作成するための情報を入力します。入力例は以下のようになります。
※実際にはご利用の環境に合わせて下さい。

Country Name (2 letter code) [XX]:JP <=国を指定
State or Province Name (full name) []:Shizuoka <=都道府県を指定
Locality Name (eg, city) [Default City]:Kosai <=市を指定
Organization Name (eg, company) [Default Company Ltd]:rem-system <=組織名を指定
Organizational Unit Name (eg, section) []:system <=部署を指定
Common Name (eg, your name or your server's hostname) []:rem-system.co.jp <=サーバ名を指定
Email Address []:info@rem-system.co.jp <=管理用メールアドレスを指定

Country Name (2 letter code) [XX]:JP <=国を指定

State or Province Name (full name) []:Shizuoka <=都道府県を指定

Locality Name (eg, city) [Default City]:Kosai <=市を指定

Organization Name (eg, company) [Default Company Ltd]:rem-system <=組織名を指定

Organizational Unit Name (eg, section) []:system <=部署を指定

Common Name (eg, your name or your server's hostname) []:rem-system.co.jp <=サーバ名を指定

Email Address []:info@rem-system.co.jp <=管理用メールアドレスを指定

上記の情報を入力すると、証明書ファイル（vsftpd.pem）が作成されます。

６－１－３．証明書ファイルの確認

証明書ファイルが作成されていることを確認します。

# ls
Makefile       ca-bundle.trust.crt  make-dummy-cert   vsftpd.pem
ca-bundle.crt  localhost.crt        renew-dummy-cert

# ls

Makefile ca-bundle.trust.crt make-dummy-cert vsftpd.pem

ca-bundle.crt localhost.crt renew-dummy-cert

vsftpd.pemが作成されていることが確認できます。

６－２．vsftpdの再起動

証明書ファイルの作成が完了しました。これで設定は全て終わりましたので、vsftpdを再起動して、設定を反映します。

# systemctl restart vsftpd

1	# systemctl restart vsftpd

エラーが出力されなければ、vsftpdは正常に再起動しています。続いてvsftpdの状態を確認します。

# systemctl status vsftpd
● vsftpd.service - Vsftpd ftp daemon
   Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; enabled; vendor preset: disabled)
   Active: active (running) since 水 2018-04-18 12:58:06 JST; 7s ago
  Process: 15392 ExecStart=/usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf (code=exited, status=0/SUCCESS)
 Main PID: 15393 (vsftpd)
   CGroup: /system.slice/vsftpd.service
           mq15393 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

 4月 18 12:58:06 www.rem-system.co.jp systemd[1]: Starting Vsftpd ftp daemon...
 4月 18 12:58:06 www.rem-system.co.jp systemd[1]: Started Vsftpd ftp daemon.

# systemctl status vsftpd

● vsftpd.service - Vsftpd ftp daemon

Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; enabled; vendor preset: disabled)

Active: active (running) since 水 2018-04-18 12:58:06 JST; 7s ago

Process: 15392 ExecStart=/usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf (code=exited, status=0/SUCCESS)

Main PID: 15393 (vsftpd)

CGroup: /system.slice/vsftpd.service

mq15393 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

4月 18 12:58:06 www.rem-system.co.jp systemd[1]: Starting Vsftpd ftp daemon...

4月 18 12:58:06 www.rem-system.co.jp systemd[1]: Started Vsftpd ftp daemon.

Active項目にrunningが表示されていますので、正常にvsftpdが起動していることが確認できました。
これでSSLを利用したFTP、FTPSの導入が完了しました。

７．FTPの接続確認

項目６．まででFTPの導入と設定、FTPSの設定まで完了しました。ここでは実際にFTPクライアントを利用して、FTP接続をテストしてみます。FTPクライアントはWindowsで良く利用される”FFFTP”を使っています。

７－１．ffftpでの接続

ffftpのでユーザー名とパスワード、ホストのIPアドレスを入力して接続をクリックします。

証明書の確認が表示されます。これは項目６．で作成した証明書を信頼するかの確認になります。[OK]をクリックして、先へ進めます。

暗号化の状態を保存するかの確認があります。[はい]をクリックして先へ進めます。

FTPSで接続しています。画面の上部に、「暗号化されています」と表示されていることが確認できます。

これで接続のテストは完了です。

ここまででFTPサーバーの導入は完了です。SFTPの場合、chrootの設定がやや面倒な部分もあり、まだまだFTPSを利用する環境は多いと思います。是非、暗号化された通信でセキュアなFTPSを設定してみて下さい。

システムでお困りのお客様

もし、貴社で、

サポート切れのサーバやネットワーク機器の入れ替えをしたいが、どうしたらよいかわからない

サーバやネットワークの管理を行う社員がいないため困っている

業務に利用している機器のセキュリティが大丈夫か心配

機器の障害で、業務への影響が発生している

社内の要望に対して、どのようなシステムを導入したらよいか解らない

など、サーバーやネットワーク、セキュリティでお悩みの方、新規のシステム導入を検討中の方。
多くのシステム構築を行い、成功させてきた実績をもつ弊社が、その問題を解決します。
お気軽にお問い合わせ頂き、貴社の問題解決にお役立てください。

お問い合わせ・ご相談はこちらから

Facebookでのご購読が便利です。

Twitter・Feedlyでもご購読できます。

Twitterでフォローする Feedlyでフォローする

Message コメントをキャンセル

PREV: CentOS 7 への Apacheインストール。最短でウェブサーバーを構築してテストページを表示する。

CentOS 7 で安全にファイルをアップロード、SSLを利用したFTPサーバーを導入する

１．FTPサーバーを導入する環境

２．ftpパッケージの確認

２－１．パッケージ確認

３．vsftpdパッケージのインストール

３－１．yumコマンドによるvsftpのインストール

３－２．vsftpdインストール後の確認

３－３．vsftpdの起動と確認

３－４．vsftpdのスタートアップ設定（自動起動設定）

４．vsftpdの設定ファイル変更

４－１．vsftpd.confの変更

４－１－１．アノニマスFTPの無効化

４－１－２．asciiアップロード、ダウンロードの有効化

４－１－３．chroot設定

４－１－４．ls有効化設定

４－１－５．SSL通信有効化の設定

４－１－６．パッシブポートの設定

４－１－７．その他の設定

４－２．chroot用ファイルの作成

５．firewallの許可設定

５－１．firewall-cmdコマンドによるパッシブFTP接続ポートのオープン

５－１－１．現状の設定確認

５－１－２．パッシブ接続用ポートの許可

５－１－３．設定の反映

５－１－４．設定の確認

５－２．iptablesコマンドによるパッシブFTP接続用ポートのオープン

６．FTPS（FTP通信を暗号化する）設定

６－１．サーバー証明書の作成

６－１－１．証明書ファイル作成コマンドの実行

６－１－２．証明書ファイル用の情報を入力

６－１－３．証明書ファイルの確認

６－２．vsftpdの再起動

７．FTPの接続確認

７－１．ffftpでの接続

システムでお困りのお客様

Facebookでのご購読が便利です。

Twitter・Feedlyでもご購読できます。

関連する情報

Message コメントをキャンセル

人気の投稿

最新の投稿

ソーシャルメディア

カテゴリー

メールマガジンの購読

最新の投稿

運営会社情報

ページ 一覧

アーカイブ

ページ一覧