FTP サーバー : ProFTPD over SSL/TLS2021/08/06 |
|
ProFTPD を SSL/TLS で利用できるように設定します。
|
|
| [1] | 自己署名の証明書を作成します。 Let's Encrypt 等の信頼された正規の証明書を使用する場合は当作業は不要です。 |
|
[root@www ~]# cd /etc/pki/tls/certs [root@www certs]# openssl req -x509 -nodes -newkey rsa:2048 -keyout proftpd.pem -out proftpd.pem -days 3650 Generating a RSA private key .....+++++ ................+++++ writing new private key to 'proftpd.pem' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:JP # 国コード State or Province Name (full name) []:Hiroshima # 地域 (県) Locality Name (eg, city) [Default City]:Hiroshima # 都市 Organization Name (eg, company) [Default Company Ltd]:GTS # 組織名 Organizational Unit Name (eg, section) []:Server World # 組織の部門名 Common Name (eg, your name or your server's hostname) []:www.srv.world # サーバーの FQDN Email Address []:root@srv.world # 管理者アドレス[root@www certs]# chmod 600 proftpd.pem |
| [2] | ProFTPD の設定です。事前にこちらを参照して基本的な設定を実施しておきます。 |
|
[root@www ~]#
vi /etc/sysconfig/proftpd # TLS オプション追記 PROFTPD_OPTIONS=" -DTLS "
[root@www ~]#
vi /etc/proftpd/mod_tls.conf <IfModule mod_tls.c> TLSEngine on # TLS 接続必須とする場合は変更 TLSRequired on # コメント化 #TLSCertificateChainFile /etc/pki/tls/certs/proftpd-chain.pem # 作成した証明書に変更 TLSRSACertificateFile /etc/pki/tls/certs/proftpd.pem TLSRSACertificateKeyFile /etc/pki/tls/certs/proftpd.pem TLSCipherSuite PROFILE=SYSTEM # Relax the requirement that the SSL session be re-used for data transfers TLSOptions NoSessionReuseRequired TLSLog /var/log/proftpd/tls.log <IfModule mod_tls_shmcache.c> TLSSessionCache shm:/file=/run/proftpd/sesscache </IfModule> </IfModule>[root@www ~]# systemctl restart proftpd |
| [3] | Firewalld を有効にしている場合は、パッシブポートの許可が必要です。 |
|
[root@www ~]#
vi /etc/proftpd.conf # 最終行に追記 # 任意の範囲のポートでパッシブポートを固定 PassivePorts 60000 60100
[root@www ~]#
systemctl restart proftpd
# 固定したパッシブポートを許可 [root@www ~]# firewall-cmd --add-port=60000-60100/tcp success [root@www ~]# firewall-cmd --runtime-to-permanent success |
|
FTP クライアント : Rocky Linux
|
|
FTP クライアントの設定です。
|
|
| [4] | FTP クライアントインストール済みとして、Rocky Linux クライアントの場合、以下のように設定して FTPS に接続します。 接続後は通常通りの操作でファイル転送可能です。 |
|
[redhat@dlp ~]$
vi ~/.lftprc
# 新規作成 set ftp:ssl-auth TLS set ftp:ssl-force true set ftp:ssl-protect-list yes set ftp:ssl-protect-data yes set ftp:ssl-protect-fxp yes set ssl:verify-certificate no lftp -u rocky www.srv.world Password: lftp rocky@www.srv.world:~> |
|
FTP クライアント : Windows
|
| [5] | Windows にインストールした FileZilla での FTPS 接続の設定です。 [ファイル] - [サイトマネージャ] を開きます。 |
|
| [6] | [新しいサイト] ボタンをクリックし、サーバーに接続する情報を入力して接続します。[暗号化] には [明示的な FTP over TLS が必要] を選択します。 |
|
| [7] | 接続ユーザーのパスワードを入力します。 |
|
| [8] | 自己署名の証明書の場合、以下のような警告が表示されますが、問題ないので [OK] ボタンをクリックして先へ進めます。 |
|
| [9] | 設定に問題なければ以下のように接続できます。問題なくファイル転送ができるか等々確認しておくとよいでしょう。 |
|
関連コンテンツ