vsftpd

2015.03.16 Monday 00:45
0

    ・memcached いれる
    ・vsftpd いれる
    QA NEHOユーザでファイル格納できることの確認いるね
    QA NEHOユーざ〜は何のユーザでFTPしてくるんだ?
    サーバー側でNEHOユーザー作成してやらんといけないのでは?


    http://rpmfind.net/linux/rpm2html/search.php?query=vsftpd&submit=Search+...

    参考
    http://hp.yotsubado.org/category22/entry81.html




    インストール rpm
    wget http://ftp.riken.jp/Linux/centos/6/os/x86_64/Packages/vsftpd-2.2.2-12.el6_5.1.x86_64.rpm
    rpm -ivh vsftpd-2.2.2-12.el6_5.1.x86_64.rpm
    # vi /etc/vsftpd/vsftpd.conf
    # vi /etc/sysconfig/selinux
    # vi /etc/sysconfig/iptables
    # vi /etc/sysconfig/iptables-config
    # iptables -vnL
    の5つの作業が必要っぽい

    ・vsftpd.confファイルの編集
    # cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.org
    # vi /etc/vsftpd/vsftpd.conf
    chroot_local_user=YES ← デフォルトでホームディレクトリより上層へのアクセスを禁止する
    # アスキーモードでのアップロードおよびダウンロードを許可します。
    ascii_upload_enable=YES
    ascii_download_enable=YES
    # 匿名ログインを拒否。
    anonymous_enable=NO
    # タイムスタンプをローカルの時間に設定するため追記
    use_localtime=YES

    # PASVモードの設定
    pasv_enable=YES ← 追記(有効に)
    pasv_min_port=4000 ← 追記(最小ポート指定)
    pasv_max_port=4029 ← 追記(最大ポート指定)


    ・selinuxファイルの編集
    # cp /etc/sysconfig/selinux /etc/sysconfig/selinux.org
    # vi /etc/sysconfig/selinux
    サーバー起動時にSELinuxが有効にならないようにするには
    SELinuxの設定ファイルを編集します。
    # vi /etc/sysconfig/selinux
    SELINUX=enforcing

    SELINUX=disabled

    ・iptablesファイルの編集
    FTPはコマンド転送とデータ転送が別々のコネクションで行われます。
    サーバ接続時のポートが別々になるという事です。
    iptablesでFTPコマンド用、データ転送用Portの許可設定をします。
    # cp /etc/sysconfig/iptables /etc/sysconfig/iptables.org
    # vi /etc/sysconfig/iptables
    -A INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT
    -A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
    -A INPUT -m state --state NEW -m tcp -p tcp --dport 4000:4029 -j ACCEPT

    ・iptables-configの編集
    パケットフィルタリングに関する設定をします。
    # cp /etc/sysconfig/iptables-config /etc/sysconfig/iptables-config.org
    # vi /etc/sysconfig/iptables-config
    IPTABLES_MODULES=""

    IPTABLES_MODULES="ip_conntrack_ftp"
    もしくは
    IPTABLES_MODULES="ip_conntrack_netbios_ns ip_conntrack_ftp ip_nat_ftp"

    と、ip_conntrack_ftp を追加して、iptables を起動。
    以下のコマンドを実行して、サービスを起動します。
    # service iptables start
    iptables: Applying firewall rules: [ OK ]

    # iptables -vnL
    Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts bytes target prot opt in out source destination
    25 1772 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
    0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
    0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:20
    0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:21
    0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
    0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

    Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
    pkts bytes target prot opt in out source destination
    0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

    Chain OUTPUT (policy ACCEPT 18 packets, 3432 bytes)
    pkts bytes target prot opt in out source destination
    [root@cnserver0 sysconfig]#


    次に、再起動した時にサービスが起動するように設定し、確認します。
    # chkconfig iptables on
    # chkconfig --list iptables
    iptables 0:off 1:off 2:on 3:on 4:on 5:on 6:off

    vsftpdを起動します。
    # service vsftpd start
    # chkconfig vsftpd on
    # chkconfig --list vsftpd


    ユーザー作成
    /usr/sbin/useradd -d /home/usera -s /bin/tcsh usera
    userpass
    ---------------------------------------------
    cd /home/usera
    chown usera usera
    chgrp usera usera
    passwd tamachi ← この後に userpass



    ★★★★ここまで





    http://pro-grammer.info/archives/902
    )iptablesにFTP設定を追加
    # vi /etc/sysconfig/iptables
    -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 50000:50030 -j ACCEPT
    # service iptables restart
    # iptables -L


    http://can.fujitoko.com/ftpinst.html
    アスキーモードでのアップロードおよびダウンロードを許可します。
    # vi /etc/vsftpd/vsftpd.conf
    ascii_upload_enable=YES
    ascii_download_enable=YES
    タイムスタンプを日本時間にするために下記を追記します。
    use_localtime=YES
    ★これいる?


    http://rina.jpn.ph/~rance/linux/vsftpd/vsftpd.html
    PASVモードを有効にする
    pasv_promiscuous=YES ←追加
    これいるかな?

    ★http://easyramble.com/install-setup-fsftpd.html
    ポート開放、iptables と iptables-config の編集
    pasv_min_port
    20,21番ポートが開いているのを確認。開いてなければ開ける。

    #
    iptables -vnL
    Chain INPUT (policy DROP 119 p
    0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
    0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:20
    0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:21


    パケットフィルタリングに関する設定をします。
    # vi /etc/sysconfig/iptables-config
    IPTABLES_MODULES=""

    IPTABLES_MODULES="ip_conntrack_ftp"


    と、ip_conntrack_ftp を追加して、iptables を再起動。
    # service iptables restart


    FTP ログイン・ユーザーの制限
    次にFTPにログインできるユーザーの設定です。/etc/vsftpd/ftpusers に設定したユーザーは、
    FTPでログインすることができません。デフォルトでは、root や nobody などがFTPでログインできないように設定されています。
    そして少しややこしいのですが、/etc/vsftpd/user_list というユーザーを設定するリストもあります。
    これはデフォルトでは、/etc/vsftpd/ftpusers と同様にブラックリスト(FTPログインできないリスト)として働きます。
    しかし、/etc/vsftpd/vsftpd.conf に以下のように記述するとホワイトリストとなる。

    userlist_enable=YES
    userlist_deny=NO
    userlist_file=/etc/vsftpd/user_list

    このように記述した場合は、/etc/vsftpd/user_list がホワイトリスト(FTPログインできるユーザーのリスト)として働きます。
    userlist_deny=NO(拒否するユーザーリストを拒否=許可するユーザーリストして使う)という設定になるわけです。

    また、/etc/vsftpd/user_list をホワイトリストとして使っても、/etc/vsftpd/ftpusers がブラックリストとして
    働くのは変わりません。つまり、/etc/vsftpd/ftpusers に記されたユーザーはFTPログインできません。
    ということで今回は、/etc/vsftpd/user_list をホワイトリストとして使う方針でいきます。

    # vi /etc/vsftpd/vsftpd.conf
    userlist_enable=YES

    userlist_enable=YES
    userlist_deny=NO
    userlist_file=/etc/vsftpd/user_list

    と変更する。ついでに、匿名ログインを拒否。

    anonymous_enable=YES

    anonymous_enable=NO

    ホワイトリストでログイン・ユーザーを指定

    つづいて、ホワイトリスト(FTPログインできるユーザー)を指定。

    # vi /etc/vsftpd/user_list
    # vsftpd userlist
    # If userlist_deny=NO, only allow users in this file
    # If userlist_deny=YES (default), never allow users in this file, and
    # do not even prompt for a password.
    # Note that the default vsftpd pam config also checks /etc/vsftpd/ftpusers
    # for users that are denied.
    username

    SELinuxが機能しているのだろうと、一旦 SELinux を無効化します。


    あとは再起動
    service vsftpd restart
    または、setenforce 0 で SELinux を Permissive に変更します。こちらの方法だと、再起動は必要ありませんでした。
    # setenforce 0
    # getenforce
    Permissive

    これで無事に FTP 接続できました。





    ★http://ossfan.net/setup/vsftpd-01.shtml
    FTPサーバに必要なパッケージを1つインストールします。 DVDドライブにCentOS 5のDVD-ROMをセットし、以下のコマンドを実行します。
    # mount /dev/cdrom /media/cdrom
    # cd /media/cdrom/CentOS/
    # rpm -ihv vsftpd-2.0.5-10.el5.i386.rpm
    Preparing... ########################################### [100%]
    1:vsftpd ########################################### [100%]
    # cd /
    # umount /media/cdrom

    設定

     ここでは初期状態では無効となっている ファイルのアスキーモードの転送を許可する設定を行います。 また、FTPサーバはTCP Wrapperによるアクセス制御の対象となりますので、 サーバと同一ネットワーク(イントラネット)内からの 利用のみを許可する設定を追加します。 最後に本来であればあまりお勧めな設定ではないのですが、 初期設定では無効となっているrootユーザでのファイル転送を 許可する設定を行います。必須の設定ではありませんが、 サーバの運用上便利なので設定しています。
    (1) FTPサーバの設定

     viエディタで設定ファイル(vsftpd.conf)を開き、設定を変更します。
    # cd /etc/vsftpd/
    # vi vsftpd.conf
    ファイル名:/etc/vsftpd/vsftpd.conf
    ※該当箇所のみ変更※
    #ascii_upload_enable=YES
    #ascii_download_enable=YES
       ↓変更
    ascii_upload_enable=YES  ←#を外す
    ascii_download_enable=YES ←#を外す
    (2) アクセス制御の許可設定

     viエディタでアクセス許可の設定ファイル(hosts.allow)を開き、設定を追加します。
    # cd /etc/
    # vi hosts.allow
    ファイル名:/etc/hosts.allow
    ※ファイルの末尾に追加※
    sshd : 192.168.0.
    vsftpd : 192.168.0. ←この行を追加
    (3) rootユーザのファイル転送許可設定

     viエディタで設定ファイル(ftpusers)を開き、設定を変更します。
    # cd /etc/vsftpd/
    # vi ftpusers
    ファイル名:/etc/vsftpd/ftpusers
    ※該当箇所のみ変更※
    root
     ↓変更
    #root ←#を付ける
     viエディタで設定ファイル(user_list)を開き、設定を変更します。
    # cd /etc/vsftpd/
    # vi user_list
    ファイル:/etc/vsftpd/user_list
    ※該当箇所のみ変更※
    root
     ↓変更
    #root ←#を付ける
    category:- | by:ittoocomments(0)trackbacks(0) | -

    スポンサーサイト

    2019.09.17 Tuesday 00:45
    0
      category:- | by:スポンサードリンク | - | - | -
      Comment








         
      Trackback
      この記事のトラックバックURL

      ad
      Calender
        12345
      6789101112
      13141516171819
      20212223242526
      2728293031  
      << October 2019 >>
      Selected entry
      PR
      Category
      Archives
      Recent comment
      • パス指定 SyntaxError: (unicode error) 'unicodeescape' codec can't decode bytes in position 2-4: truncated ¥xXX escape
        久米隆文
      • 円マークが自動変換されてる
        aaaaaa
      • マクドナルドでYahoo BBモバイルポイント 公衆無線LANサービスがつながらない
        66hills
      • マクドナルドでYahoo BBモバイルポイント 公衆無線LANサービスがつながらない
        ssd
      • マクドナルドでYahoo BBモバイルポイント 公衆無線LANサービスがつながらない
        max
      • マクドナルドでYahoo BBモバイルポイント 公衆無線LANサービスがつながらない
        DOM
      • マクドナルドでYahoo BBモバイルポイント 公衆無線LANサービスがつながらない
        DOM
      • コンピュータ業界の根本的な変化
        cloud
      • コンピュータ業界の根本的な変化
        Dellの仮想化
      • マクドナルドでYahoo BBモバイルポイント 公衆無線LANサービスがつながらない
        えちごや
      Recent trackback
      • スマートフォンの法人活用例
        無線LANネットのブログ
      • Yahoo!オークションからのアフィリエイト収入が一気に70%減になってしまい涙目になってる話
        特選情報
      Recommend
      Link
      Profile
      Search
      Others
      Mobile
      qrcode
      Powered
      無料ブログ作成サービス JUGEM