1 views

■概要

WordPressの管理画面からWordPress用の各種プラグインをインストールできるようにします。CentOS標準のFTPサーバーであるvsftpdで構築しました。
なお、ユーザ名、パスワード、CGI等に書かれたパスワード情報等の盗聴による不正入手対策として、SSLによる暗号化通信を行えるようにしました。また、管理者ユーザ以外は自身のホームディレクトリより上層へはアクセスできないようにしました。

■vsftpdインストール


[root@ufuso ~]# yum -y install vsftpd ← vsftpdインストール
Installed:
vsftpd.x86_64 0:2.0.5-16.el5_4.1

■vsftpd設定

(1)vsftpd設定

[root@ufuso ~]# vi /etc/vsftpd/vsftpd.conf ← vsftpd設定ファイル編集
# Allow anonymous FTP? (Beware – allowed by default if you comment this out).
anonymous_enable=NO ← anonymousユーザ(匿名ユーザ)のログイン禁止

# The target log file can be vsftpd_log_file or xferlog_file.
# This depends on setting xferlog_std_format parameter
xferlog_enable=YES ← /var/log/vsftpd.logに接続・転送を記録(1/3)

# The name of log file when xferlog_enable=YES and xferlog_std_format=YES
# WARNING – changing this filename affects /etc/logrotate.d/vsftpd.log
xferlog_file=/var/log/vsftpd.log ← /var/log/vsftpd.logに接続・転送を記録(2/3)

# Switches between logging into vsftpd_log_file and xferlog_file files.
# NO writes to vsftpd_log_file, YES to xferlog_file
xferlog_std_format=NO ← /var/log/vsftpd.logに接続・転送を記録(3/3)

# ASCII mangling is a horrible feature of the protocol.
ascii_upload_enable=YES ← アスキーモードでのアップロードを許可
ascii_download_enable=YES ← アスキーモードでのダウンロードを許可

# You may fully customise the login banner string:
ftpd_banner=Welcome to blah FTP service. ← FTPログイン時にソフト名とバージョンが表示されないようにする

# You may specify an explicit list of local users to chroot() to their home
# directory. If chroot_local_user is YES, then this list becomes a list of
# users to NOT chroot().
chroot_local_user=YES ← デフォルトでホームディレクトリより上層へのアクセスを禁止する
chroot_list_enable=YES ← ホームディレクトリより上層へのアクセスを許可するユーザのリストの有効化
# (default follows)
chroot_list_file=/etc/vsftpd/chroot_list ← ホームディレクトリより上層へのアクセスを許可するユーザのリスト

# You may activate the “-R” option to the builtin ls. This is disabled by
# default to avoid remote users being able to cause excessive I/O on large
# sites. However, some broken FTP clients such as “ncftp” and “mirror” assume
# the presence of the “-R” option, so there is a strong case for enabling it.
ls_recurse_enable=YES ← ディレクトリごと削除できるようにする

以下を最下行へ追加
use_localtime=YES ← タイムスタンプ時間を日本時間にする
pasv_addr_resolve=YES ← PASVモード接続先IPアドレスをホスト名から取得する
pasv_address=centossrv.dip.jp ← PASVモード接続先IPアドレスが牽けるホスト名※
pasv_min_port=60000 ← PASVモード接続時の最小ポート番号
pasv_max_port=60030 ← PASVモード接続時の最大ポート番号

ssl_enable=YES ← SSLの有効化
rsa_cert_file=/etc/pki/tls/certs/vsftpd.pem ← サーバー証明書を指定
force_local_logins_ssl=NO ← ログイン時にSSL接続を強制しない※暗号化しない接続もできるようにする場合のみ
force_local_data_ssl=NO ← データ転送時にSSL接続を強制しない※暗号化しない接続もできるようにする場合のみ

※pasv_addressには、サーバーのグローバルIPアドレスが牽けるホスト名を指定する。なお、内部向けDNSサーバーを導入して内部からの名前解決時にプライベートIPアドレスに変換してしまっている場合は、新たにドメインを取得し、内部向けDNSに設定しないようにして、取得したドメイン名をpasv_addressに指定する。
(2)vsftpdログ切替設定

[root@ufuso ~]# vi /etc/logrotate.d/vsftpd.log ← vsftpdログ切替設定ファイル編集
/var/log/xferlog /var/log/vsftpd.log { ← /var/log/vsftpd.logを切替対象に追加
# ftpd doesn’t handle SIGHUP properly
nocompress
missingok
}
(3)ホームディレクトリより上層へのアクセスを許可するユーザの登録

[root@ufuso ~]# echo tu >> /etc/vsftpd/chroot_list
← 例としてユーザcentosによるホームディレクトリより上層へのアクセスを許可する場合

※管理者や、自身のホームディレクトリ以外へアクセスできるようにしておく必要があるユーザのみ登録しておく
(4)ホームディレクトリより上層へのアクセスができないユーザのタイムスタンプを日本時間にする

【新規ユーザ対処】
[root@ufuso ~]# mkdir /etc/skel/etc ← ユーザ登録時にホームディレクトリへetcディレクトリが作成されるようにする

[root@ufuso ~]# cp /etc/localtime /etc/skel/etc/
← ユーザ登録時に/etc/localtimeがホームディレクトリのetcディレクトリへコピーされるようにする

【既存ユーザ対処】
[root@ufuso ~]# vi localtimset ← localtimeセットアップスクリプト作成
#!/bin/bash

for user in `ls /home`
do
id $user > /dev/null 2>&1
if [ $? -eq 0 ]; then
grep $user /etc/vsftpd/chroot_list > /dev/null 2>&1
if [ $? -ne 0 ] && [ ! -f /home/$user/etc/localtime ]; then
mkdir -p /home/$user/etc
cp /etc/localtime /home/$user/etc
echo $user
fi
fi
done

[root@ufuso ~]# sh localtimset ← localtimeセットアップスクリプト実行

user1



usern

[root@ufuso ~]# rm -f localtimset ← localtimeセットアップスクリプト削除

(5)FTPサーバーへのアクセスを禁止するユーザの登録

[root@ufuso ~]# echo centos >> /etc/vsftpd/ftpusers
← 例としてユーザcentosによるFTPサーバーへのアクセスを禁止する場合
(6)サーバー証明書作成

[root@ufuso ~]# cd /etc/pki/tls/certs/ ← ディレクトリ移動

[root@ufuso certs]# make vsftpd.pem ← サーバー証明書作成
umask 77 ;
PEM1=`/bin/mktemp /tmp/openssl.XXXXXX` ;
PEM2=`/bin/mktemp /tmp/openssl.XXXXXX` ;
/usr/bin/openssl req -utf8 -newkey rsa:1024 -keyout $PEM1 -nodes -x509 -days 365 -out $PEM2 -set_serial 0 ;
cat $PEM1 > vsftpd.pem ;
echo “” >> vsftpd.pem ;
cat $PEM2 >> vsftpd.pem ;
rm -f $PEM1 $PEM2
Generating a 1024 bit RSA private key
……………………………++++++
…………………………..++++++
writing new private key to ‘/tmp/openssl.OH7090’
—–
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [GB]:JP ← 国名応答

State or Province Name (full name) [Berkshire]:Tokyo ← 都道府県名応答
Locality Name (eg, city) [Newbury]:Shinjuku ← 市区町村名応答
Organization Name (eg, company) [My Company Ltd]:centossrv.com ← サイト名応答(なんでもいい)
Organizational Unit Name (eg, section) []: ← 空ENTER
Common Name (eg, your name or your server’s hostname) []:ftp.centossrv.com ← ホスト名応答
Email Address []:root@centossrv.com ← 管理者メールアドレス応答

[root@ufuso certs]# cd ← ホームディレクトリへ戻る

■vsftpd起動

(1)vsftpd起動

[root@ufuso ~]# /etc/rc.d/init.d/vsftpd start ← vsftpd起動

vsftpd 用の vsftpd を起動中: [ OK ]

[root@ufuso ~]# chkconfig vsftpd on ← vsftpd自動起動設定

[root@ufuso ~]# chkconfig –list vsftpd ← vsftpd自動起動設定確認
vsftpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off ← ランレベル2〜5のon確認

(2)ポート21番のOPEN

ルーター側の設定でポート21番をOPENする。
※ルーターの設定は各ルーターのマニュアルまたはメーカー別ルーターポート開放手順を参照

ポートチェック【外部からポート開放確認】で「host名」にサーバー名(例:centossrv.com)、「port番号」に21と入力して「ポートチェック」ボタン押下し、「ホスト=centossrv.com ポート=21 にアクセスできました。」と表示されることを確認。

(3)PASV接続用ポートのOPEN
ルーター側の設定でPASV接続用ポート(60000〜60030)をOPENする。

※ルーターの設定は各ルーターのマニュアルまたはメーカー別ルーターポート開放手順を参照

■SSL対応FTPクライアント導入

WindowsからFTPサーバーへ接続(FileZilla)参照
※FileZillaはSFTP接続にも対応しており、SFTPで接続するとFTPサーバーのchroot機能が働かない=ログインユーザー自身のホームディレクトリ以外も参照できてしまうため、SSHサーバーのchroot設定も行なっておくこと

■アクセス制限

vsftpdへアクセスできるホストを制限する。

[root@ufuso ~]# echo “vsftpd:127.0.0.1” >> /etc/hosts.allow ← サーバー自身からのvsftpdへのアクセスを許可

[root@ufuso ~]# echo “vsftpd:192.168.1.” >> /etc/hosts.allow ← 内部(例:192.168.1.XXXからのvsftpdへのアクセスを許可)

[root@ufuso ~]# echo “vsftpd:.ppp.asahi-net.or.jp” >> /etc/hosts.allow
← 外部(例:xxx.ppp.asahi-net.or.jpからのvsftpdへのアクセスを許可)

[root@ufuso ~]# echo “vsftpd:ALL” >> /etc/hosts.deny ← vsftpdへの全てのアクセスを禁止

※上記では、内部(例:192.168.1.XXX)と外部(例:xxx.ppp.asahi-net.or.jp)からのみ、vsftpdへのアクセスを許可している

■WordPress管理画面での設定

プラグインを追加しようとするとこの画面が出てきます。

ftp01

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください