Top

ドメイン名入門
入門ガイド
管理ガイド基礎
[Email]
[FTP]
  ProFTPの設定
  Wget
[Web]
[Ports]
[Shell]
[User]
[CPX]
[Webmin]
管理上級編


v3
Top
v3
Start
v3
Email
v3
Ftp
v3
Web
v3
Ports
v3
Shell
v3
User
v3
Perl
v3
Java
v3
System
v3
CPX


TLS 利用時の ProFTP の設定

本ページは 2008-04-01 更新されました


proftpd.conf ファイルに含めることのできる TLS (Transport Layer Security) 関連のディレクティブ(directive)がいくつかあります。
しかし、これらのディレクティブ(directive)の値の変更は、ProFTPd の作動に思わぬ結果をもたらすことがありますので、十分注意し、必ず Backup を取ってから行ってください。

ProFTPd サーバーの作動に決定的な影響を与える TLS 関連のディレクティブ(directive)は三つあります。
その他に、TLS に TLS-based 認証のためのファイルをどこで探すべきかを伝えるディレクティブ(directive)がいくつかあります。

TlsRequired

このディレクティブ(directive)は、 ProFTPD に TLS 暗号化以外の暗号化によるアクセスを認めないかどうかを伝えます。
vps サーバーに FTP でアクセスする権利のあるユーザー全員が、TLS 対応の FTP クライアントを使って、認められた暗号化形式を使っていることが確実な場合以外、この値を変更してはいけません。

TlsRequired のデフォルト値は off です。
TLS 暗号化以外のアクセスを認めない場合 on にします。

TlsRequired                    off

TlsCertsOk

TLS はサーバー証明書を SSL とほぼ同様の方法で使用します。
証明書発行団体の費用が高いことを理由として、自分で発行したサーバー証明書を利用する場合があります。
vps サーバー v3, v3 Linux では、デフォルトで *.securesites.net サーバー証明書がインストールされていますので、これを利用できます。

vps サーバー v3, v3 Linux のデフォルトでは FTP 利用時はサインのない証明書の利用を求めています。
サインのある証明書以外認めないようにするには、TlsCertsOk の値を on にします。

TlsCertsOk off

TlsCipherList

TlsCipherList ディレクティブで暗号化方式を ProFTPD に伝えます。
利用する FTP クライアントによって、サポートされている暗号化方式は異なります。
下記はデフォルトの TlsCipherList ディレクティブです。

TlsCipherList ALL:!EXP

以下は README から TlsCipherList ディレクティブで利用できる値に付いての記述部分を抜き出したものです。 directive.

How to put together a  'cipher list string':

  Key Exchange Algorithms:

    "kRSA"      RSA key exchange

    "kDHr"      Diffie-Hellman key exchange (key from RSA cert)

    "kDHd"      Diffie-Hellman key exchange (key from DSA cert)

    "kEDH"      Ephemeral Diffie-Hellman key exchange (temporary key)



  Authentication Algorithm:

    "aNULL"     No authentication

    "aRSA"      RSA authentication

    "aDSS"      DSS authentication

    "aDH"       Diffie-Hellman authentication



  Cipher Encoding Algorithm:

    "eNULL"     No encodiing

    "DES"       DES encoding

    "3DES"      Triple DES encoding

    "RC4"       RC4 encoding

    "RC2"       RC2 encoding

    "IDEA"      IDEA encoding



  MAC Digest Algorithm:

    "MD5"       MD5 hash function

    "SHA1"      SHA1 hash function

    "SHA"       SHA hash function (should not be used)



  Aliases:

    "ALL"       all ciphers

    "SSLv2"     all SSL version 2.0 ciphers (should not be used)

    "SSLv3"     all SSL version 3.0 ciphers

    "EXP"       all export ciphers (40-bit)

    "EXPORT56"  all export ciphers (56-bit)

    "LOW"       all low strength ciphers (no export)

    "MEDIUM"    all ciphers with 128-bit encryption

    "HIGH"      all ciphers using greater than 128-bit encryption

    "RSA"       all ciphers using RSA key exchange

    "DH"        all ciphers using Diffie-Hellman key exchange

    "EDH"       all ciphers using Ephemeral Diffie-Hellman key exchange

    "ADH"       all ciphers using Anonymous Diffie-Hellman key exchange

    "DSS"       all ciphers using DSS authentication

    "NULL"      all ciphers using no encryption



Each item in the list may include a prefix modifier:



    "+"         move cipher(s) to the current location in the list

    "-"         remove cipher(s) from the list (may be added again by

                a subsequent list entry)

    "!"         kill cipher from the list (it may not be added again

                by a subsequent list entry)



If no modifier is specified the entry is added to the list at the current 

position.  "+" may also be used to combine tags to specify entries such as 

"RSA+RC4" describes all ciphers that use both RSA and RC4.



For example, all available ciphers not including ADH key exchange:



  ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP



All algorithms including ADH and export but excluding patented algorithms: 



  HIGH:MEDIUM:LOW:EXPORT56:EXP:ADH:!kRSA:!aRSA:!RC4:!RC2:!IDEA



The OpenSSL command 



  openssl ciphers -v list of ciphers 



may be used to list all of the ciphers and the order described by a specific

list of ciphers.

その他の TLS ディレクティブ

サーバー証明書がどのファイルに含まれているかを ProFTPD に伝える、いくつかのディレクティブがあります。
一般にはこれらを変更する必要はありません。
以下は、サーバー証明書ファイル関連のデフォルト値の例です。

TlsRsaCertFile                 ftpd-rsa.pem

TlsRsaKeyFile                  ftpd-rsa-key.pem

TlsDsaCertFile                 ftpd-dsa.pem

TlsDsaKeyFile                  ftpd-dsa-key.pem

TlsCrlFile                     ftpd-crl.pem

TlsDhParamFile                 ftpd-dhparam.pem
SPEEDEX サポートポリシー

Copyright @ Cyber Vision Hosting Co., Ltd. All rights reserved.


株式会社サイバービジョンホスティング提供サービス一覧
再販売用レンタルサーバーのSPEEDEX | VPS(仮想専用サーバー) | 共用サーバー | 独自ドメイン取得・運用 | SSLサーバー証明書 | ワイルドカードサーバー証明書 | SEO | Google Apps(TM) | クリエイティブワークの検索エンジン