Solaris 10 で ProFTPD + FTP over SSL

□安全な通信のために

○やりたいこと

ftp を暗号化して安全に up /down をしたいっつーワケなのでつ。
オイラ的な要求としてわ・・・、

フツーの ftp も使いたい。

ので、フツーの ftp と ftp over SSL を共存させるっつーコンセプトでいってみまつ。
なので、

FTP over SSL は port 60000(Data) / 60001(Command) にする。
ルーターも tcp port 60000 / 60001 通せるようにしてをく。

っつーことにしておきまつ。あ、OS は Solaris 10 でつ。
あと、Grobal IP Address が必要でつ。
DDNS とかでやりたいって場合は、

がんばってくらさい。

いろんなイミで。

□必要なもの

○オフィシャルサイトのご案内

ダウンしなくっちゃいけないのは、

でつ。ProFTPD は最新のものをダウンすると良いでしょう。
OpenSSL はテキトーにインストールしておいて(^^;)

□ProFTPD の Build

○configure はこーしとけ

configure option
./configure --sysconfdir=/etc --with-modules=mod_tls \ --with-includes=/usr/local/ssl/include \ --with-libraries=/usr/local/ssl/lib

proftpd.conf の置き場所を /etc にして OpenSSL の include と lib を指定しただけ、あ、 mod_tls も忘れずにね！
あとは、

% make
% su -
# make install

でインストールはおちまい。

□環境設定

○/etc/services

FTP over SSL のために、プロトコルを追加しときまつ。 /etc/services の最下行にでも

/etc/services の編集
sslftp-data 60000/tcp # SSL Over ProFTPD sslftp 60001/tcp # SSL Over ProFTPD

を、追加。
プロトコル名や port No.なんかわ、実際の環境に合わせて変えてくらさい。コメントなんかもいらないしね。

○/etc/inetd.conf

/etc/inetd.conf に追加しておいてね。

/etc/inetd.conf の編集
sslftp stream tcp nowait root /usr/local/sbin/proftpd proftpd

/etc/inetd.conf を書き換え終わったらマニフェスト update ね。

# inetconv -f -i /etc/inetd.conf

してくらさい。
# svcs -a | grep sslftp とかすると、

svcs -a | grep sslftp の結果
online Sep_21 svc:/network/sslftp/tcp:default

なんてマニフェストができてませんかのぉ？

○/etc/hosts.allow, /etc/hosts/deny

ポリシーとしては、 hosts.deny で全部禁止して、 hosts.allow で必要なとこだけ許可しまつ。
ので、

/etc/hosts.deny
ALL : ALL

/etc/hosts.allow
proftpd : .hoge.com : allow proftpd : 192.168.126. : allow

とかしてください。

□ProFTPD の設定

○/etc/proftpd.conf

proftpd.conf は /etc に置くように configure しているので、 /etc にありまつ。デフォだと、 /usr/local/etc だったっけ？
直接書き換えたとこを抜粋してみまつた。

/etc/proftpd.conf の一例
ServerName "sslftp.hoge.com" ServerType inetd DefaultServer on UseReverseDNS off IdentLookups off TimesGMT off SystemLog /var/log/proftpd.log ExtendedLog /var/log/proftpd.log ALL Port 60001 ←重要 PassivePorts 60000 60000 ←重要 MasqueradeAddress xxx.xxx.xxx.xxx ←重要(Global IP) Umask 022 MaxInstances 30 User nobody Group nobody DefaultRoot ~ AllowOverwrite on <Limit SITE_CHMOD> DenyAll </Limit> <IfModule mod_tls.c> TLSEngine on TLSLog /var/log/proftpd-tls.log TLSProtocol SSLv23 TLSCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP TLSRequired off TLSRSACertificateFile /etc/ssl.key/server.crt TLSRSACertificateKeyFile /etc/ssl.key/server.key TLSVerifyClient off </IfModule>

ってなとこだ。

□SSL 証明書を作る。

○俺様証明書で凌ぐ

本来なら、 veriSign や SECOM にお願いして本物の証明書を得るのがスジと言うものでつが、そこまでのコストをかけるメリットがないやぅな場合は、

俺様証明書で OK.

○作り方

作り方は他のサイトにもいっぱい書いてあるので、コマンドだけ・・・
OpenSSL の環境設定とかもしといてね。

openssl genrsa -out server.key 1024
openssl req -new -days 365 -key server.key -out server.csr
openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 365

いらなかったり、間違ってるカモしれないけど、一応、これで証明書はできるミタイ。

詳しい方のフォロー求ム。

□ルーターのポートを開ける

○お使いのルーターの説明書を見てね。

Port 60000 と 60001 を開けてくらさい。
NAT してるばやいはもそれなりにフォワード設定するやぅにしてね。

□Windows と繋ぐ

○FTP クライアント・ソフト

Windows から繋げてくるパターンが一番多いと思いまつので、動作確認できた FTP クライアントソフトを列記しておきまつ。

☆NextFTP

シェアウェアでつが、これがイチバンお勧め。
EUC <->ShiftJIS の文字コード変換もおっけぇさっ！

漢字コード:サーバの漢字コードを EUC にしてください。
SSL 暗号化:Explicit(SSL) / (TLS) / (TLS-C) / (TLS-P)のどれか。
PASVモード ON でも OFF でもOK(Port 開放状況によりまつ)
Data Connection暗号化:設定可能なら ON にしませう。

☆FileZilla

フリーソフトなのは Good Job! でつが、残念な事に漢字に対応していません。
なので、漢字を含むファイル名は化け化けでつ。漢字コード対応パッチがあるよーでつが、試してません。(^^;)

サーバの種類:FTP over SSL(explicit encryption) / FTP over TLS(explicit encryption) のどちらか
PASVモード ON

理論的には、 SSL に対応した FTP クライアントソフトであれば、 FTP Over SSL が利用可能なハヅでつが、ファイル名の漢字コード変換にまで対応してくれているものになるとかなり少なくなりまつ。
この他に良さげなものをご存知でしたら、

教えてくらさい。