|
Top ドメイン名入門 入門ガイド 管理ガイド基礎 [Email] [FTP] ProFTPの設定 Wget [Web] [Ports] [Shell] [User] [CPX] [Webmin] 管理上級編 |
|
v3 Top |
v3 Start |
v3 |
v3 Ftp |
v3 Web |
v3 Ports |
v3 Shell |
v3 User |
v3 Perl |
v3 Java |
v3 System |
v3 CPX |
TLS 利用時の ProFTP の設定
本ページは 2008-04-01 更新されました
proftpd.conf ファイルに含めることのできる TLS (Transport Layer Security) 関連のディレクティブ(directive)がいくつかあります。
しかし、これらのディレクティブ(directive)の値の変更は、ProFTPd の作動に思わぬ結果をもたらすことがありますので、十分注意し、必ず Backup を取ってから行ってください。
ProFTPd サーバーの作動に決定的な影響を与える TLS 関連のディレクティブ(directive)は三つあります。
その他に、TLS に TLS-based 認証のためのファイルをどこで探すべきかを伝えるディレクティブ(directive)がいくつかあります。
TlsRequired
このディレクティブ(directive)は、 ProFTPD に TLS 暗号化以外の暗号化によるアクセスを認めないかどうかを伝えます。
vps サーバーに FTP でアクセスする権利のあるユーザー全員が、TLS 対応の FTP クライアントを使って、認められた暗号化形式を使っていることが確実な場合以外、この値を変更してはいけません。
TlsRequired のデフォルト値は off です。
TLS 暗号化以外のアクセスを認めない場合 on にします。
TlsRequired off
TlsCertsOk
TLS はサーバー証明書を SSL とほぼ同様の方法で使用します。
証明書発行団体の費用が高いことを理由として、自分で発行したサーバー証明書を利用する場合があります。
vps サーバー v3, v3 Linux では、デフォルトで *.securesites.net サーバー証明書がインストールされていますので、これを利用できます。
vps サーバー v3, v3 Linux のデフォルトでは FTP 利用時はサインのない証明書の利用を求めています。
サインのある証明書以外認めないようにするには、TlsCertsOk の値を on にします。
TlsCertsOk off
TlsCipherList
TlsCipherList ディレクティブで暗号化方式を ProFTPD に伝えます。
利用する FTP クライアントによって、サポートされている暗号化方式は異なります。
下記はデフォルトの TlsCipherList ディレクティブです。
TlsCipherList ALL:!EXP
以下は README から TlsCipherList ディレクティブで利用できる値に付いての記述部分を抜き出したものです。 directive.
How to put together a 'cipher list string':
Key Exchange Algorithms:
"kRSA" RSA key exchange
"kDHr" Diffie-Hellman key exchange (key from RSA cert)
"kDHd" Diffie-Hellman key exchange (key from DSA cert)
"kEDH" Ephemeral Diffie-Hellman key exchange (temporary key)
Authentication Algorithm:
"aNULL" No authentication
"aRSA" RSA authentication
"aDSS" DSS authentication
"aDH" Diffie-Hellman authentication
Cipher Encoding Algorithm:
"eNULL" No encodiing
"DES" DES encoding
"3DES" Triple DES encoding
"RC4" RC4 encoding
"RC2" RC2 encoding
"IDEA" IDEA encoding
MAC Digest Algorithm:
"MD5" MD5 hash function
"SHA1" SHA1 hash function
"SHA" SHA hash function (should not be used)
Aliases:
"ALL" all ciphers
"SSLv2" all SSL version 2.0 ciphers (should not be used)
"SSLv3" all SSL version 3.0 ciphers
"EXP" all export ciphers (40-bit)
"EXPORT56" all export ciphers (56-bit)
"LOW" all low strength ciphers (no export)
"MEDIUM" all ciphers with 128-bit encryption
"HIGH" all ciphers using greater than 128-bit encryption
"RSA" all ciphers using RSA key exchange
"DH" all ciphers using Diffie-Hellman key exchange
"EDH" all ciphers using Ephemeral Diffie-Hellman key exchange
"ADH" all ciphers using Anonymous Diffie-Hellman key exchange
"DSS" all ciphers using DSS authentication
"NULL" all ciphers using no encryption
Each item in the list may include a prefix modifier:
"+" move cipher(s) to the current location in the list
"-" remove cipher(s) from the list (may be added again by
a subsequent list entry)
"!" kill cipher from the list (it may not be added again
by a subsequent list entry)
If no modifier is specified the entry is added to the list at the current
position. "+" may also be used to combine tags to specify entries such as
"RSA+RC4" describes all ciphers that use both RSA and RC4.
For example, all available ciphers not including ADH key exchange:
ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
All algorithms including ADH and export but excluding patented algorithms:
HIGH:MEDIUM:LOW:EXPORT56:EXP:ADH:!kRSA:!aRSA:!RC4:!RC2:!IDEA
The OpenSSL command
openssl ciphers -v list of ciphers
may be used to list all of the ciphers and the order described by a specific
list of ciphers.
その他の TLS ディレクティブ
サーバー証明書がどのファイルに含まれているかを ProFTPD に伝える、いくつかのディレクティブがあります。
一般にはこれらを変更する必要はありません。
以下は、サーバー証明書ファイル関連のデフォルト値の例です。
TlsRsaCertFile ftpd-rsa.pem TlsRsaKeyFile ftpd-rsa-key.pem TlsDsaCertFile ftpd-dsa.pem TlsDsaKeyFile ftpd-dsa-key.pem TlsCrlFile ftpd-crl.pem TlsDhParamFile ftpd-dhparam.pem
株式会社サイバービジョンホスティング提供サービス一覧
再販売用レンタルサーバーのSPEEDEX | VPS(仮想専用サーバー) | 共用サーバー | 独自ドメイン取得・運用 | SSLサーバー証明書 | ワイルドカードサーバー証明書 | SEO | Google Apps(TM) | クリエイティブワークの検索エンジン