- 投稿日2010-01-14 (木)
- 更新日2010-09-22 (水) 21:12
- サーバー技術情報
FTPでの接続について、よりセキュリティを高める為に
ログインできるアカウントを制限したり、IP制限をしたりします。
全体でIP制限をする。
iptablesで制限/sbin/iptables -A INPUT -s 123.123.123.123/255.255.255.255 -p tcp -m tcp --dport 21 --syn -j ACCEPT
のように記述することで「123.123.123.123」以外からのアクセスを拒否する事ができます
TCP Wrappersで制限
vi /etc/hosts.deny
で
in.proftpd: all
と追記。
vi /etc/hosts.allow
で
in.proftpd: 123.123.123.123
と追記。
このように記述することで「123.123.123.123」以外からのアクセスを拒否する事ができます
ログインできるユーザーを制限する
/usr/local/etc/proftpd.conf のファイルを編集します以下のような文を追記
<Limit LOGIN> Order allow,deny AllowUser admin,webmaster Deny All </Limit>
このように設定するとadminとwebmaster以外のFTPアカウントはログインできなくなる
ユーザーごとにアクセス制限する
proftpdのconfigure時に「./configure –with-modules=mod_ifsession」とオプションを入れてconfigureします。(参考proftpのインストール記事)
このconfigureの部分を./configure –with-modules=mod_ifsessionにする。
すでにconfigureオプションなしで構築している場合は再コンパイルが必要です。
再コンパイルの際はmake distcleanを実行するのを忘れないようにしましょう。
再コンパイル手順
cd /usr/local/src/proftpd-1.3.x make distclean ./configure --with-modules=mod_ifsession make make install
以上まで完了すれば
IfUserディレクティブが使えるようになります。
/usr/local/etc/proftpd.conf に以下のような文章を追加すると
hogehgoeアカウントへは123.123.123.123から以外からはFTPアクセスできなくなります
<IfUser hogehoge> <Limit LOGIN> Order allow,deny Allow from 123.123.123.123 DenyAll </Limit> </IfUser>
複数のアカウントを指定する場合はIfUserディレクティブを
<IfUser hogehoge webmaster testuser>(ここではhogehogeとwebmasterとtestuserというアカウントを指定)
(参考:module mod_ifsession)
コメント:0
トラックバック:0
- この記事のトラックバックURL
- http://www.ahref.org/tech/server/server-tips/672.html/trackback
- この記事へのリンク
- エーエイチレフ linuxサーバー技術情報 からの記事 proftpでアクセス制限
関連記事