FTPサーバ(ProFTPD)の構築

■ProFTPDのダウンロードとインストール

$ tar zxfv proftpd-1.2.5rc1.tar.gz 　$ cd proftpd-1.2.5rc1 　$ ./configure 　$ make 　$ su 　# make install 　# mkdir /var/log/proftpd 　　←　詳細ログ用ディレクトリの作成（詳細ログが必要なければ不要）

■ProFTPDの設定

1. サーバ名の変更（どうでもいい）
   
   ServerName "ProFTPD Default Installation"
   
   　　　　　　　↓追加、変更
   
   #ServerName "ProFTPD Default Installation"
   ServerName "ProFTPD"
   
   
2. サーバタイプの変更
   
   ServerType standalone
   
   　　　　　　　↓追加、変更
   
   #ServerType standalone
   ServerType inetd
   
   　デフォルトは、デーモン起動のstandaloneですが常時使用するものでもないので、メモリ利用効率を考えxinetd.d経由の起動とし、inetdに変更。
   　MaxInstancesディレクティブは、許可された同じ接続の最台数をコントロールするものでDoS attacks等に有効。inetdモードでは無効なため、特にコメントアウトしていない。
   
   
3. NATルータ越えでPASVモードでインターネット公開する場合の設定の追加
   
   　最近は、いくつかのメーカや機種で本設定を行わなくてもルータで同等の対応を行うものが増えてきているので、まずは、本設定を行わずにPASVを動かしてみるとよい。対応済みルータで本設定を行うと逆にLISTで止まるようになるので注意が必要。
   
   # PASVモードでインターネット公開する場合の設定
   MasqueradeAddress　　　 ルータのWAN側アドレス　又は　ドメイン名
   PassivePorts 　　　　　　　最小ポート番号　最大ポート番号
   
   ・MasqueradeAddress
   
   　MasqueradeAddressでは、ルータのWAN側アドレス又はドメイン名が指定できるが、固定IPの場合はルータのWAN側アドレスでも良いが、動的IPの場合は、必然的にDDNSでのドメイン名になる。一般的には関係ないが、おやじのようにインターネットと同じドメイン名で内向きDNSを建てていると、自宅DNSでは自分のドメイン（おやじの場合なら、example.zive.net)は牽けないため接続できない。おやじが使用しているZiveさんでは、3つまでホスト名登録ができるので、FTP専用のホスト名（ex. exampleftp.zive.net)を登録し、このドメイン名をMasqueradeAddressに記述することで、この問題を回避できる。
   　なお、動的IPの場合、サーバタイプがstandaloneになっているとIPの変化が起きてもDNSを牽き直さないので、必ずinetdで走らせる必要がある。
   　現在は、自宅DDNSでの運用に切り替えたので、この目的専用のホスト名を内向きのゾーンにDDNSで登録し、そのアドレスを指定してある。(DNSとしては内向きだが、あるホスト名だけは動的IPアドレスが牽けるようにしてあり、これで対処している。)
   
   ・PassivePorts
   　PassivePortsでは、PASVモードで使用するポート番号（1024以上）の最小と最大で範囲指定する。おやじは、家庭用なのでそれほど多くは必要ないのと使いまわしされるので、MaxInstancesと同じ30ポートとし、他のデーモンで使ってない4000-4029とした。
   　なお、このポートはインターネット側から接続が開始されるので、ルータのスタティックNATでサーバにNATすると同時に、フルタリングも開ける必要がある。
   
   
4. PAM認証の設定の追加
   
   # PAM認証の設定
   AuthPAMConfig ftp
   
   　ログイン時に、PAMのエラーログが毎回出ていた（接続はできるが）ので設定を追加した。このとき、PAMの設定も必要であり、下記のように追加する。
   
   
5. ユーザ・グループの変更
   
   User nobody
   Group nogroup
   
   　　　　　　　↓追加、変更
   
   User nobody
   #Group nogroup
   Group nobody
   
   　デフォルトでは、nogroupというグループになっていますが、RedHatにはnogroupというグループはないため、追加してもいいのですがここでは、権限の低い既存のnobodyに変更。
   
   
6. アクセスディレクトリの制限（追加）
   
   DefaultRoot                     ~ !wheel
   
   　”~”　指定により、接続ユーザにユーザのhome以上を見せないようにするが、これでは不便なのでwheelグル−プのユーザ（おやじ）のみ自由にアクセスできるように設定。
   
   　上記設定では、/houme/user以下がrootディレクトリとなり、Maildir等システム関係のディレクトリ・ファイルが見え、誤操作でおかしてしまう可能性もある。従って、以下のように設定変更し、一般ユーザはpublic_html以下しかアクセスできないようにした。
   
   DefaultRoot                     ~/public_html !wheel
   
   　更に、グループの制御に関してはカンマで区切って複数のグループを記述でき、それらのアンド条件で適用される。従って、下記の例では、ftpユーザで且つwheelユーザではないユーザがpublic_html以下しかアクセスできないようになる。ただ、この設定はDefaultRootと~ftp,!wheelの間は[Space]にしないと有効にならなかった。他のディレクティブは、[Tab]で問題はないのだが？
   
   DefaultRoot                     ~/public_html ftp,!wheel
   
   
7. アクセスユーザの制限（追加）
   
   <Limit LOGIN>
   　Order allow, deny
     Allow from 127.0.0.1, 192.168.1., 172.16.0.　192.168.1.0/24, 172.16.0.0/16
     Deny from all
   </Limit LOGIN>
   
   　localhostとおやじ宅内(192.168.1.0/24, 172.16.0/16)からのみ、アクセスを許容し、それ以外は拒否するように設定。
   
   　ProFTPD-1.2.6にアップしたところ、上記設定があると家庭内から一切アクセスできなくなってしまったが、ふと思いついて、アドレス表記を簡略形の「192.168.1., 172.16.0.」ではなく、「192.168.1.0/24, 172.16.0.0/16」と表記したところ、ProFTPD-1.2.6でも機能することが判明しました。(2002.11.16)
   
   
8. 詳細ログの取得設定（追加：将来用）
   
   LogFormat allinfo "%t :  %u (%a [%h]) : [%s], %T, %m (%f)"
   LogFormat write "%t : %u : %F (%a)"
   LogFormat read "%t : %u : %F (%a)"
   LogFormat auth "%t : %u (%a [%h])"
   
   ExtendedLog /var/log/proftpd/all.log ALL allinfo
   ExtendedLog /var/log/proftpd/write.log WRITE write
   ExtendedLog /var/log/proftpd/read.log  READ read
   ExtendedLog /var/log/proftpd/auth.log AUTH auth
   
   　現状はローカル運用のため必要ないが、将来に備えて設定。
   
   
9. ログイン時間の短縮化　(追加）(2003.01.26)
   
   UseReverseDNS off　　　(DNS逆引きを停止：時間短縮にはさほど効果なし)
   IdentLookups off　　　　　(Identの停止：xinet.d設定の変更によりパラメータが有効になる。効果絶大)
   
   
10. anonymousFTPの停止
    
    anonymousFTPは、運用しないため、全項目をコメントアウト。
    
    

◆追加の設定

1. 時刻表示の変更
   
   時刻表示はデフォルトでGMTになっており、日本を対象にするなら下記設定を追加することにより、local timeに変更される。
   
   TimesGMT off
   
   
2. Resume機能のサポート
   
   大きなファイルのダウンロードやアップロード中に回線断等のトラブルにより転送が中断してしまった場合、クライアントがサポートしていれば、中断点から再開できるのが、Resume機能である。ダウンロードはデフォルトで機能が有効になっているが、アップロードは無効になっている。有効にしたければ、下記設定を追加する。但し、アップロードを許可すると言うことは、REST コマンドによって再開するので、クライアントのオペミス（同一名称のままアップロード）で、先に保存されたファイルが壊れたりすることがあるので、特にanonymousでは絶対に使用しないほうが良い。
   
   # Allow clients to resume downloads (default on)
   AllowRetrieveRestart on
   
   # Allow clients to resume uploads (default off)
   AllowStoreRestart on
   
   
3. アップロード中断ファイルの自動削除
   
   大きなファイルをアップロードすることがない場合は意味がないが、アップロード中に回線断等ではなく、クライアント操作で転送を中断(ABORコマンドによる中断)した場合に、下記設定を行っておくと自動的に中途半端なファイルを削除してくれる。上記、AllowStoreRestartとは背反である。
   
   # Enable automatic deletion of partially uploaded files (default off)
   DeleteAbortedStores on
   
   
4. 同一ホストからの同時接続数の制限
   
   ダウンロードツール等を使用すると、複数セッションを設定して高速でダウンロードできるが、特定ユーザに細い回線を占有されてしまう。これを制限するのが下記設定で、数字は同時接続数であり、デフォルトは無制限である。制限されたときは、下記メッセージが返送される。
   
   # The maximum number of clients allowed to connect per host.(default none: no limit)
   MaxClientsPerHost 1
   
   [デフォルトメッセージ]
   
   　Results in: 530 Sorry, the maximum number clients (%m) from your host are already connected.　(%mは制限値）
   
   
5. 異なるホストからの同一ユーザでの同時接続数の制限
   
   違った場所からの同一ユーザでのログインを制限できる。制限するには下記設定を行うが、数字は同時接続数である。制限されたときは、下記メッセージが返送される。
   
   # The the maximum number of times different hosts.　(default none: no limit)
   MaxHostsPerUser 1
   
   [デフォルトメッセージ]
   
   　Results in: 530 Sorry, the maximum number of hosts (%m) for this user already connected.　(%mは制限値）
   
   
6. アップロードファイル容量の制限
   
   アップロードを許可している場合、オペミスで大容量のファイルをアップしてしまったり、anonymousでいたずらされたりすることを防止できる。最悪はHDDを使い切ってシステムロックすることも考えられるので、設定しておいたほうが良い。但し、この設定で制限できるのはファイルの大きさだけなので、quotaでHDDの使用量制限を併用することを勧める。なお、ダウンロードの制限もMaxRetrieveFileSizeで可能であるが、あまり意味はない。
   下記の上の例は全てを3MByteに制限する例であり、下の例はanonymousのみ50KByteに制限する例である。 単位は、"Gb" (Gigabytes), "Mb" (Megabytes), "Kb" (Kilobytes), "B" (bytes)である。
   
   # Restrict upload to only 3 megabytes
   MaxStoreFileSize 3 Mb
   
   # Restrict anonymous uploads to 50k, but allow unlimited upload size for everyone else
   MaxStoreFileSize 50 Kb user anonymous
   MaxStoreFileSize *
   
   
7. タイマ関係の設定
   
   タイマ関係としては、以下が設定可能であるが、家庭内で使用するには基本的にデフォルト値で問題ないはずなので、特に追加記述は不要である。各自の動作環境を想定して変更すると良い。敢えて変更するなら、TimeoutStalledで、ストール(止まった）したままでいつまでも繋いでおく必要もないので、10分(600)程度で切断しても良いと思われる。トータル時間を制限するなら、TimeoutSession を指定すれば、転送の遅いユーザは切ることもできる。
   なお、ここで無制限としても、巨大なファイルを細い回線で時間をかけて転送していると、転送が切れてしまう(転送完了後に切れることが多いはず）ことがある。これは、クライアントの実装にもよるが、データ転送中は制御コネクションにデータが流れないためルータのNATテーブルが消えてしまうことから発生する。制御コネクションのKeepaliveとしてNOOPコマンドを投げているクライアントもある。
   
   
   • TimeoutIdle (default: 600) -- 制御・データコネクションのいずれかからもデータを全く受け取らないまま、接続を維持している時間。
   • TimeoutLogin (default: 300) -- クライアントが認証に最大何秒間費やせるかを指定。
   • TimeoutNoTransfer (default: 600) -- 認証後に、データ転送(ファイル転送やリストを取得)をしないで、最大何秒間接続していられるかを指定。
   • TimeoutSession (default: none) -- 認証後に、制御コネクションを保持している時間を指定。デフォルトは無制限。
   • TimeoutStalled (default: 0 {no limit}) -- サーバとFTPクライアント間で、実際のデータ転送をしない(つまり、止まったまま）で最大何秒間データコネクションを維持していられるかを指定。デフォルトは無制限の"0"。
     
   　
   # Sets the idle connection timeout (default: 600)
   TimeoutIdle 600
   
   # Sets the login timeout (default: 300)
   TimeoutLogin 300 
   
   #  Sets the connection without transfer timeout (default: 600)
   TimeoutNoTransfer 600
   
   # Sets a timeout for an entire session (default: none)
   TimeoutSession none
   
   #　Sets the timeout on stalled downloads (default: 0 {no limit})
   TimeoutStalled 600
   
   
8. 転送量の制御
   
   [ProFTPd 1.2.7以前]
   
   非常に負荷が重い場合意外は意味がないが、下記設定でダウンロードの転送量を制御できる。アップロードも同様のパラメータがある。
   制御用のパラメータは3つあり、単独又は組み合わせて使用する。
   
   
   • RateReadBPSは、1秒あたりの最大ダウンロード量をバイトで表す。"0"は無制限である。
     
   • RateReadFreeBytesは、次のRateReadHardBPSパラメータと組み合わせて使用され、ここでは制限なしで転送できるバイト数を設定する。つまり、大きなファイルはある程度制限し、小さなファイルは制限せずに転送してあげようという考えである。制限量を越えた場合の動作は、下記のRateReadHardBPSを参照。
     
   • RateReadHardBPSがonの場合、ファイルのRateReadFreeBytes量が転送された後、RateReadBPSで設定された帯域で転送される。これらのパラメータを使うなら、FreeBytes ＞ ReadBPSとなるはずである。
     
   
   # The allowed byte per second download bandwidth in the given config context. (default :0)
   RateReadBPS 30000
   
   # The amount of bytes to be transferred without any bandwidth limits. (default :0)
   RateReadFreeBytes 100000
   
   # RateReadHardBPS forces the bandwidth to the given RateReadBPS value after
   # the RateReadFreeBytes amount of file was transfered. (default :off)
   RateReadHardBPS on
   
   
   [ProFTPd 1.2.8RC1以降]
   
   従来、転送量の制御は、RateRead* と RateWrite* で行えるようになっていたが、1.2.8rc1 から本ディレクティブは廃止され TransferRate というディレクティブに変更、集約された。
   TransferRate ディレクティブのパラメータは以下のとおりであり、コンテキストはserver config, <VirtualHost>, <Global>, <Anonymous>, <Directory>, .ftpaccessなので、制御単位に合わせて適宜設定する。
   
   TransferRate [ cmds] [ kilobytes-per-sec[:free-bytes]] [ ["user"|"group"|"class" expression]]
   
   
   • cmds -- 制御対象のコマンドを指定する。対象コマンドは、RETR、STOR、STOU、APPEであり、複数指定する場合は「,」区切りで記述する。ダウンロード系は「RETR」を、アップロード系は「STOR,STOU,APPE」とすればよい。
   • kilobytes-per-sec -- 読んで字のごとく、転送制御量をKByte/s単位で指定する。
   • free-bytes -- 本パラメータは、「kilobytes-per-sec」に続けて、「:1024」のようにコロンを挟んで指定する。このパラメータが指定されていると、ここで指定した容量まではkilobytes-per-sec による転送量制御が効かなくなる。一般的には、転送量制御は大きなファイルの転送を平均化するのが目的のため、このパラメータで小さなファイルは一気に送ってしまうことができる。
   • "user"|"group"|"class" expression -- 転送量制御の対象を、user、group、class で指定する。それぞれ、後ろに対象を記述する。「group !wheel」とすれば、wheel グループ以外が対象となる。classについては、別途 class ディレクティブで対象を指定する。
     
     
   
   下記設定例では、ダウンロードにおいて wheel グループ以外は、5KByte/sに転送量を制限されるが、1Kbyte以下のファイルはこの限りではないとなる。
   
    TransferRate RETR 5.0:1024 group !wheel
   
   
   [ Class ディレクティブ]
   
   class ディレクティブは、 server config (共通部)に下記のように記述する。
   
   　Class [ "name" limit|regex|ip value]
   
   
   • name -- クラスを識別するための適当な名前を指定。
   • limit value -- コネクションの最大数を指定。(デフォルト：100)
   • regex value -- このクラスとして扱うホスト名を指定。ワイルドカード可。
   • ip  value -- このクラスとして扱うネットワークを IP/ネットマスクで指定。
     
     
   下記の例では、local と default の二つのクラスを作成している。この設定では、デフォルトは最大10コネクションしか張れないが、ホスト名が *.foo.com で且つアドレスが 172.16.1.* なら最大100コネクション張れることになる。
   
   Classes on
   Class local limit 100
   Class default limit 10
   Class local regex *.foo.com
   Class local ip 172.16.1.0/24
   

■PAMの設定

■logrotateの設定

# vi /etc/logrotate.d/proftpd 　/var/log/proftpd/all.log /var/log/proftpd/auth.log /var/log/proftpd/read.log /var/log/proftpd/write.log { 　# ftpd doesn't handle SIGHUP properly 　nocompress 　}

■ProFTPDの自動起動

# default: on
# description: The wu-ftpd FTP server serves FTP connections. It uses \
# normal, unencrypted usernames and passwords for authentication.
service ftp
{
　　　　　　　socket_type 　　　　= stream
　　　　　　　wait 　　　　　　　　　= no
　　　　　　　user 　　　　　　　 　= root
　　　　　　　server 　　　　　　　 = /usr/sbin/in.ftpd
　　　　　　　server_args 　　　　 =　-l -a
　　　　　　　log_on_success 　 += DURATION USERID
　　　　　　　log_on_failure 　　　+= USERID
　　　　　　　nice 　　　　　　　　　= 10
　　　　　　　disable 　　　　　　 　= yes
}

　　　　　　　↓削除、追加、変更


# default: on
# description: The proftpd FTP server serves FTP connections. It uses \
# normal, unencrypted usernames and passwords for authentication.
service ftp
{
　　　　　　　socket_type 　　　　= stream
　　　　　　　wait 　　　　　　　　　= no
　　　　　　　user 　　　　　　　 　= root
　　　　　　　server 　　　　　　　 = /usr/local/sbin/in.proftpd
　　　　　　　server_args 　　　　 =　　(削除）
　　　　　　　log_on_success 　 += HOST PID 　　　　　(ログイン時間の短縮化)
　　　　　　　log_on_failure 　　　+= HOST RECORD　　(ログイン時間の短縮化。Xinetdエラー対策でRECORD削除)　
　　　　　　　nice 　　　　　　　　　= 10
　　　　　　　disable 　　　　　　 　= no
}

Top Pageへ