FTPのSSL化
最近のガンブラー(gumblar)の影響もあり、ftpサーバのセキュリティを考えてみる。sftp,scpという手もあったが、sshのchroot化が面倒なんで、ftpsに取り組むこととした。
ただ、どれにしても、クライアントがウィルスに感染していればid、パスワードを抜かれる場合があるので、あんまり意味はないような気もする。
で、サーバ(vsftpd)側の設定は、
1. オレオレサーバ証明書(金がないので自己証明)を作成する。
# cd /etc/pki/tls/certs
# make vsftpd.pem
2. /etc/vsftpd/vsftpd.conf に以下を追記
ssl_enable = yes
force_local_data_ssl = no
force_local_logins_ssl = no
rsa_cert_file=/etc/pki/tls/certs/vsftpd.pem
次にクライアントだが、ftpsに対応しているfilezillaを使う。
filezillaには、
ftps:ftp over implicit ssl (implicitモード:暗黙的にtls/sslを使う)
ftpes:ftp over explicit ssl (explicitモード:明示的にtls/sslを使う)
の2つの設定方式があるが、centos標準インストールではポート990が使えないみたいで、前者のftpsでは接続できなかった。
それで、ポート7600を使っている後者のftpesで試したところ、問題なく接続できた。
気休めかもしれないが、ftpのssl化で、少しは安心したような。
追記:
オレオレサーバ証明書の有効期限は標準で1年(365日)なので、これを10年に延ばしておく。
/etc/pki/tls/certs/Makefile で下記の通り書き換える。
#/usr/bin/openssl req $(UTF8) -newkey rsa:1024 -keyout $$PEM1 -nodes -x509 -days 365 -out $$PEM2 -set_serial $(SERIAL) ;
/usr/bin/openssl req $(UTF8) -newkey rsa:1024 -keyout $$PEM1 -nodes -x509 -days 3650 -out $$PEM2 -set_serial $(SERIAL) ;