質問編集履歴
4
暗号化
title
CHANGED
|
File without changes
|
body
CHANGED
|
File without changes
|
3
/etc/vsftpd.confに対する設定変更の差分の編集
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -35,6 +35,9 @@
|
|
|
35
35
|
|
|
36
36
|
|
|
37
37
|
vsftpd 3.0.3の/etc/vsftpd.confに対して加えた設定変更の差分は以下です。
|
|
38
|
+
(編集履歴を参照。
|
|
39
|
+
cipher_suites,pasv拒否、ftp-data port20のblockのみです。
|
|
40
|
+
)
|
|
38
41
|
|
|
39
42
|
```
|
|
40
43
|
diff -u vsftpd.conf.orig vsftpd.conf
|
|
@@ -49,7 +52,7 @@
|
|
|
49
52
|
#
|
|
50
53
|
# This directive enables listening on IPv6 sockets. By default, listening
|
|
51
54
|
# on the IPv6 "any" address (::) will accept connections from both IPv6
|
|
52
|
-
@@ -19,
|
|
55
|
+
@@ -19,33 +20,36 @@
|
|
53
56
|
# sockets. If you want that (perhaps because you want to listen on specific
|
|
54
57
|
# addresses) then you must run two copies of vsftpd with two configuration
|
|
55
58
|
# files.
|
|
@@ -88,15 +91,22 @@
|
|
|
88
91
|
#
|
|
89
92
|
# Activate directory messages - messages given to remote users when they
|
|
90
93
|
# go into a certain directory.
|
|
94
|
+
-dirmessage_enable=YES
|
|
91
|
-
|
|
95
|
+
+dirmessage_enable=NO
|
|
92
96
|
#
|
|
97
|
+
# If enabled, vsftpd will display directory listings with the time
|
|
98
|
+
# in your local time zone. The default is to display GMT. The
|
|
99
|
+
@@ -57,7 +61,8 @@
|
|
100
|
+
xferlog_enable=YES
|
|
101
|
+
#
|
|
93
102
|
# Make sure PORT transfer connections originate from port 20 (ftp-data).
|
|
94
|
-
|
|
103
|
+
-connect_from_port_20=YES
|
|
104
|
+
+#connect_from_port_20=YES
|
|
95
|
-
+
|
|
105
|
+
+connect_from_port_20=NO
|
|
96
106
|
#
|
|
97
107
|
# If you want, you can arrange for uploaded anonymous files to be owned by
|
|
98
108
|
# a different user. Note! Using "root" for uploaded files is not
|
|
99
|
-
@@ -67,
|
|
109
|
+
@@ -67,11 +72,11 @@
|
|
100
110
|
#
|
|
101
111
|
# You may override where the log file goes if you like. The default is shown
|
|
102
112
|
# below.
|
|
@@ -105,6 +115,11 @@
|
|
|
105
115
|
#
|
|
106
116
|
# If you want, you can have your log file in standard ftpd xferlog format.
|
|
107
117
|
# Note that the default log file location is /var/log/xferlog in this case.
|
|
118
|
+
-#xferlog_std_format=YES
|
|
119
|
+
+xferlog_std_format=NO
|
|
120
|
+
#
|
|
121
|
+
# You may change the default value for timing out an idle session.
|
|
122
|
+
#idle_session_timeout=600
|
|
108
123
|
@@ -96,8 +101,8 @@
|
|
109
124
|
# predicted this attack and has always been safe, reporting the size of the
|
|
110
125
|
# raw file.
|
|
@@ -125,7 +140,7 @@
|
|
|
125
140
|
#
|
|
126
141
|
# Customization
|
|
127
142
|
#
|
|
128
|
-
@@ -146,10 +151,
|
|
143
|
+
@@ -146,10 +151,36 @@
|
|
129
144
|
#
|
|
130
145
|
# This option specifies the location of the RSA certificate to use for SSL
|
|
131
146
|
# encrypted connections.
|
|
@@ -140,21 +155,22 @@
|
|
|
140
155
|
+ssl_enable=YES
|
|
141
156
|
+ssl_sslv2=NO
|
|
142
157
|
+ssl_sslv3=NO
|
|
143
|
-
+ssl_tlsv1=
|
|
158
|
+
+ssl_tlsv1=NO
|
|
144
|
-
+ssl_ciphers=HIGH
|
|
145
159
|
+force_local_data_ssl=YES
|
|
146
160
|
+force_local_logins_ssl=YES
|
|
161
|
+
+force_dot_files=YES
|
|
147
162
|
+allow_anon_ssl=YES
|
|
148
|
-
+
|
|
149
|
-
+ssl_ciphers=ECDHE
|
|
163
|
+
+require_ssl_reuse=YES
|
|
164
|
+
+ssl_ciphers=ECDHE:ECDSA:!aNULL:!eNULL:!EXPORT:!DES:!CAMELLIA:!RC4:!MD5:!SHA:!PSK:!aECDH:!EDH:!DH:!DSS:!CBC3:!CBC
|
|
150
165
|
+
|
|
151
|
-
+
|
|
166
|
+
+implicit_ssl=YES
|
|
152
167
|
+listen_port=990
|
|
153
168
|
+
|
|
154
|
-
+pasv_promiscuous=
|
|
169
|
+
+pasv_promiscuous=NO
|
|
155
|
-
+pasv_min_port=30000
|
|
170
|
+
+#pasv_min_port=30000
|
|
156
|
-
+pasv_max_port=30100
|
|
171
|
+
+#pasv_max_port=30100
|
|
157
172
|
+
|
|
173
|
+
+#syslog_enable=YES
|
|
158
174
|
+log_ftp_protocol=YES
|
|
159
175
|
+
|
|
160
176
|
+
|
|
@@ -164,6 +180,7 @@
|
|
|
164
180
|
-#utf8_filesystem=YES
|
|
165
181
|
+utf8_filesystem=YES
|
|
166
182
|
|
|
183
|
+
|
|
167
184
|
```
|
|
168
185
|
### 経路暗号化を実現するNAS用プロトコルの代替案について
|
|
169
186
|
|
2
補足
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -169,10 +169,11 @@
|
|
|
169
169
|
|
|
170
170
|
NASに利用できるプロトコルは様々にありますが、
|
|
171
171
|
|
|
172
|
-
・sambaだと、ldapの設定し
|
|
172
|
+
・sambaだと、ldapの設定無しに、tls/sslを利用できない。
|
|
173
|
-
・webdavはデータの破損が怖い
|
|
173
|
+
・webdavはデータの破損が怖い (webdav vs ftpより)
|
|
174
|
+
・tls likeな通信がいいので、sftpは除外
|
|
174
175
|
|
|
175
|
-
という問題があり、ftpを
|
|
176
|
+
という問題があり、ftpを試しました。非暗号接続でいいなら、sambaで十分なのですが。
|
|
176
177
|
|
|
177
178
|
### 補足情報(FW/ツールのバージョンなど)
|
|
178
179
|
|
1
補足
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -30,6 +30,8 @@
|
|
|
30
30
|
|
|
31
31
|
tls化しているにもかかわらず、ファイル転送が暗号化されないなら、意味ないです。
|
|
32
32
|
|
|
33
|
+
あと、匿名ユーザーとunixユーザーでのログインで比較しても結果は同じです。
|
|
34
|
+
ソフトの問題というより、ftpのデータ用ポートは非暗号化される仕様なのでしょうか。
|
|
33
35
|
|
|
34
36
|
|
|
35
37
|
vsftpd 3.0.3の/etc/vsftpd.confに対して加えた設定変更の差分は以下です。
|
|
@@ -163,9 +165,15 @@
|
|
|
163
165
|
+utf8_filesystem=YES
|
|
164
166
|
|
|
165
167
|
```
|
|
168
|
+
### 経路暗号化を実現するNAS用プロトコルの代替案について
|
|
166
169
|
|
|
170
|
+
NASに利用できるプロトコルは様々にありますが、
|
|
167
171
|
|
|
172
|
+
・sambaだと、ldapの設定してないと、ldapsとしてのtls/sslを利用できない。
|
|
173
|
+
・webdavはデータの破損が怖い
|
|
168
174
|
|
|
175
|
+
という問題があり、ftpを検討しました。非暗号接続でいいなら、sambaで十分なのですが。
|
|
176
|
+
|
|
169
177
|
### 補足情報(FW/ツールのバージョンなど)
|
|
170
178
|
|
|
171
179
|
ubuntu 18.04
|