ProFTPDの各種設定(Linuxで動作するFTPサーバ)

スポンサーリンク

ProFTPDの設定

ここで記載する設定は全て任意の設定項目です。

ProFTPDは単に動作させるだけなら設定は全てデフォルトのままでも動作してくれますので、必要と思われる項目だけ設定すればOKです。

設定ファイル

ProFTPDの設定ファイル

ProFTPD自体の設定ファイルはこれ1個と非常にシンプルで、アクセス制限の記述方法などWebサーバのapacheとよく似た記述方法で分かりやすく出来ています。

/etc/proftpd.conf

FTP接続を禁止するユーザーのリスト

1行に1ユーザーを記述するテキストファイルで、rootのほかログインシェルを持たないユーザーが予め記述されています。

/etc/ftpusers

ProFTPDの起動・終了・常時起動

開始

systemctl start proftpd

終了

systemctl stop proftpd

常時起動

systemctl enable proftpd

タイムゾーン

日本標準時の場合

TimesGMT off
SetEnv TZ JST-9

サーバー名

ServerName "sakue.com ProFTPD server"

接続時のメッセージ

ServerIdent on "FTP Server ready."

管理者メールアドレス

ServerAdmin admin@sakue.com

ログイン時のDNS逆引きをしない(ログイン高速化)

UseReverseDNS off

ident無効(ログイン高速化)

IdentLookups off

シェルなしユーザーでログイン可能にする

RequireValidShell off

ポート番号の変更(制御用)

制御用ポートはデフォルト「21」ですが、攻撃を減らすために別のポート番号にしています。

Port 20021

ポート番号の変更(パッシブポート)

パッシブポートは「PassivePorts 最小ポート番号 最大ポート番号」のように範囲で指定します。

以下の場合はポート57000~58000を使うという意味です。

PassivePorts 57000 58000

デフォルトルート

FTPでログインした時に見せるディレクトリを指定します。

複数記述することができ、以下の書式で追加していきます。

DefaultRoot [ディレクトリ] [ユーザー名]

「~」だとユーザーのHomeディレクトリです。

以下の場合はユーザーが「sakue」の場合はsakueのホームディレクトリへ、ユーザーが「sakueftp」の場合はログインすると「/media/TeraStation」が表示されます。

DefaultRoot ~ sakue
DefaultRoot /media/TeraStation sakueftp

子プロセスの上限

DoSアタックから守るために少なめにしておきます。

MaxInstances 15

ログイン失敗回数

何回失敗したら切断されるかですが、1でOKです。

MaxLoginAttempts 1

ログ出力

システムログ

SystemLog /var/log/proftpd/proftp.log

アクセス&認証ログ

ExtendedLog /var/log/proftpd/access.log WRITE,READ default
ExtendedLog /var/log/proftpd/auth.log AUTH auth
ExtendedLog /var/log/proftpd/proftp.log ALL allinfo
ExtendedLog /var/log/proftpd/proftp.log WRITE write
ExtendedLog /var/log/proftpd/proftp.log READ read
ExtendedLog /var/log/proftpd/proftp.log AUTH auth

「ExtendedLog」は個々に別のログへ出力できますが、以下のように重複している場合は両方へ出力されます(例は認証のログ)

ExtendedLog /var/log/proftpd/auth.log AUTH auth
ExtendedLog /var/log/proftpd/test.log AUTH auth

ログフォーマット

個々に異なるフォーマット指定ができます。

注意点として、fail2banなどログを監視するようなシステムが別途動作している場合、あまり自由に変更するとフィルタに一致せず検知できなくなるため、よく分からない場合はデフォルトのままをおすすめします。

fail2banの場合は「/etc/fail2ban/filter.d/proftpd.conf」がデフォルトで用意されているProFTPD用のフィルタなので、書式が分かる方ならフィルタに記述のパターンに合致する範囲でログフォーマットを修正するか、修正したログフォーマットに一致するようフィルタを修正してもOKです。

LogFormat default "%h %l %u %t \"%r\" %s %b"
LogFormat auth "%v [%P] %h %t \"%r\" %s"

使える変数は以下のとおりです。

%h   リモートホスト名
%a   リモートIPアドレス
%l   リモートユーザ名
%p   ローカルサーバのポート番号
%v   ローカルサーバ名
%P   ローカルサーバのプロセスID
%r   クライアントから受け取ったフルのコマンドライン
%t   現在のローカルタイム
%T   ファイルの送受信にかかった時間(秒単位) 
%s   NumericFTPレスポンスコード
%u   ローカルで認証されたユーザーID

Anonymousを拒否(匿名ログイン)

匿名ログインは無効にしておきます。

「proftpd.conf」に以下のようなブロックがあるので、<IfDefine ANONYMOUS_FTP> から </IfDefine> までを全てコメントアウトするか、行ごと削除します。

<IfDefine ANONYMOUS_FTP>
   ~~省略~~
</IfDefine>

SSLの設定(ftps)

 

<IfModule mod_tls.c>

   TLSEngine on

   TLSLog /var/log/proftpd/ftps.log

   TLSProtocol TLSv1 TLSv1.1 TLSv1.2

   TLSCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP

   TLSOptions NoSessionReuseRequired

   TLSRequired on

   TLSVerifyClient off

   TLSRSACertificateFile /etc/letsencrypt/live/sakue.com/cert.pem
   TLSRSACertificateKeyFile /etc/letsencrypt/live/sakue.com/privkey.pem
   TLSCACertificateFile /etc/letsencrypt/live/sakue.com/chain.pem

   <IfModule mod_tls_shmcache.c>
      TLSSessionCache shm:/file=/var/run/proftpd/sesscache
   </IfModule>
</IfModule>

以下の箇所は「Let’s Encrypt」などで取得したcert.pemなどのパスに修正してください。

TLSRSACertificateFile /etc/letsencrypt/live/sakue.com/cert.pem
TLSRSACertificateKeyFile /etc/letsencrypt/live/sakue.com/privkey.pem
TLSCACertificateFile /etc/letsencrypt/live/sakue.com/chain.pem

rootログインを許可する

rootのログインを許可したい場合、「proftpd.conf」で以下の行を追加したうえで、「/etc/ftpusers」からrootの行を削除します。

どちらかが抜けているとrootログインは許可されません。

RootLogin on

IPv4のみにする(IPv6を使わない)

UseIPv6 off

アクセス制限

モジュールの有効化

以下の行がコメントアウトされていたら解除して有効にします。

LoadModule mod_ifsession.c

シンプルなアクセス制限

以下の例ではユーザー名が「sakue」のユーザーのみ許可し、それ以外のユーザーのログインは拒否します。

<Limit LOGIN>
  AllowUser sakue
  DenyAll
</Limit>

複数のユーザーを記述する場合はカンマで区切ります。

AllowUser user1, user2, user3

FileZillaクライアントで許可なしユーザーでログインした場合のログ例です。

14:08:06 コマンド: USER test
14:08:06 レスポンス: 331 test のパスワードを入力しください
14:08:06 コマンド: PASS **********************
14:08:07 エラー: サーバーによって接続が閉じられました
14:08:07 エラー: サーバーに接続できません

特定ユーザーの接続元を制限

以下の例ではユーザー名「user1」は「192.168.2.0/24」もしくは「.nt.ngn.ppp.infoweb.ne.jp」からのネットワークからの接続のみ許可します。

<IfUser user1>
   <Limit LOGIN>
      Order allow,deny
      allow from 192.168.2.0/24, .nt.ngn.ppp.infoweb.ne.jp
      deny from all
   </Limit LOGIN>
</IfUser>

AND・OR・NOT・正規表現

IfUserなどのディレクティブでは「AND」「OR」や否定の「!」などが使えます。

「regex」では正規表現も使えます。

<IfUser regex ^user>

「user1」または「user2」の場合は以下のように書きます。

<IfUser OR user1, user2>

「AND」はNOTの条件の時に使います。

ユーザー名の先頭に「!」を置くとNOT(否定)です。

以下の例では「user1」でなく「user2」でも無い場合に一致します。

<IfUser AND !user1, !user2>

同時に複数のユーザーに該当することはないため、以下のように書くことはありません。

<IfUser AND user1, user2>

IfUserなどのディレクティブでは「OR」などを使って記述しますが、「allow from」などはカンマ区切りで列挙するだけで先頭に「OR」などはつけません。

以下の場合は「192.168.2.0/24」または「.nt.ngn.ppp.infoweb.ne.jp」のネットワークの接続からは許可という意味です。

allow from 192.168.2.0/24, .nt.ngn.ppp.infoweb.ne.jp

トラブル

設定が反映されない

設定項目と値の区切りはタブ区切りでOKな箇所と、半角スペースでないと駄目な箇所があります。

混乱の元になるため、proftpd.confでは全て半角スペースで統一した方が良さそうです。

接続できない(到達できてるか確認)

Windowsならコマンドプロンプト、Linuxならシェルでtelnet接続してみます。

telnet [IPアドレス] [ポート番号]

FTPサーバのIPアドレスが「192.168.2.200」で、制御用ポート番号を「20021」にしている場合は以下のように実行します。

telnet 192.168.2.200 20021

FTPサーバまで到達できていれば、「proftpd.conf」の「ServerIdent」で指定した以下のようなメッセージが返ってくるはずです。

220 FTP Server ready.

返ってこずタイムアウトするような場合、ルータのNAT設定やiptablesなどのファイアウォールを確認してみます。

ログインできない

「proftpd.conf」の「ExtendedLog」で指定したログを確認してみます。

パスワードミスの場合は以下のような感じのログが出ます。

USER test (Login failed): Incorrect password

ログイン失敗を許可する回数を「MaxLoginAttempts」で指定しますが、それを超過して切断された場合は以下のログが残ります。

カッコ内はMaxLoginAttemptsで指定した回数が表示されます。

Maximum login attempts (1) exceeded, connection refused

アクセス制限でログインできなかった場合のログは以下のような感じです。

ログのメッセージが分かりやすいのはありがたいですね。

USER test (Login failed): Limit access denies login

それ以外の事例では、シェルなしユーザーはデフォルトでログインできないので、対象ユーザーがシェルなしの場合は以下のように許可します。

RequireValidShell  off

また、/sbin/nologin というのは古いシステムでは /etc/shells にデフォルトで記載されていましたが、新しいシステムでは書いてないものが多いため、確認して無ければ最下部に追記しておきます。

cat /etc/shells

/bin/sh
/bin/bash
/usr/bin/sh
/usr/bin/bash
/bin/tcsh
/bin/csh
/sbin/nologin

コメント

タイトルとURLをコピーしました