Product SiteDocumentation Site

5.3. FTP を安全にする

本当に FTP を (sslwrap でラップしたり、SSL や SSH のトンネルを通さずに) 使わなければいけないならば、 ユーザが自分のディレクトリ以外のどんなものも見ることができないように ftp を ftp ユーザのホームディレクトリの内部へ chroot するべきです。そうしないと ユーザはシェルを持っているかのようにあなたのルートファイルシステムをうろつく ことができます。この chroot 機能を有効にするには proftpd.conf のグローバル セクションに以下の行を追加することができます:
DefaultRoot ~
/etc/init.d/proftpd restart で proftpd を再起動して ホームディレクトリから逃げだせるか確かめてください。
../../.. を使った Proftp DoS 攻撃を防ぐには、以下の行を /etc/proftpd.conf に追加してください。
FTP はログインや認証のパスワードを平文で送っていること (これは匿名の公共 サービスを提供しているのなら問題ではありません) および Debian にはよりよい 代用品があることをいつもおぼえておいてください。たとえば、sftp (ssh パッケージによって提供されます)。他の オペレーティングシステムのためのフリーな SSH 実装もあります: たとえば http://www.chiark.greenend.org.uk/~sgtatham/putty/http://www.cygwin.com です。
However, if you still maintain the FTP server while making users access through SSH you might encounter a typical problem. Users accessing anonymous FTP servers inside SSH-secured systems might try to log in the FTP server. While the access will be refused, the password will nevertheless be sent through the net in clear form. To avoid that, ProFTPd developer TJ Saunders has created a patch that prevents users feeding the anonymous FTP server with valid SSH accounts. More information and patch available at: http://www.castaglia.org/proftpd/#Patches. This patch has been reported to Debian too, see http://bugs.debian.org/145669.