https://klifehack.com/tags/passive-mode/Recent content in Passive-Mode on K-Life Hack | システムアーキテクチャ & DevOpsHugo -- gohugo.iojaSat, 30 May 2026 17:33:07 +0900https://klifehack.com/p/vsftpd-enterprise-linux-hardening/Sat, 30 May 2026 17:33:07 +0900https://klifehack.com/p/vsftpd-enterprise-linux-hardening/<h1 id="enterprise-linuxにおけるvsftpdの構築とセキュリティ構成chroot隔離とパッシブモードの最適化">Enterprise Linuxにおけるvsftpdの構築とセキュリティ構成：chroot隔離とパッシブモードの最適化 </h1><p>Enterprise Linux（RHEL, CentOS, Rocky Linux等）において、標準的なFTPデーモンとして採用されている<b>vsftpd</b> (Very Secure FTP Daemon) は、その名の通りセキュリティを最優先に設計されたアーキテクチャを持ちます。本稿では、vsftpdの導入から、パッシブモードのポート制限、chrootによるユーザー隔離、およびfirewalldを用いたネットワーク境界防御の設定まで、実務レベルの構成手順を詳述します。</p> <h2 id="1-パッケージの導入とサービスライフサイクルの管理">1. パッケージの導入とサービスライフサイクルの管理 </h2><p>vsftpdは権限分離モデル（Privilege Separation Model）を採用しており、信頼できないネットワーク入力を処理するプロセスの権限を最小化することで、ローカル特権昇格のリスクを低減しています。まず、パッケージの存在確認とインストールを実施します。</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"><code class="language-bash" data-lang="bash"><span style="display:flex;"><span><span style="color:#75715e"># vsftpdパッケージのインストール</span> </span></span><span style="display:flex;"><span>sudo yum install -y vsftpd </span></span></code></pre></div><p>インストール完了後、systemdユニットとしてサービスを有効化し、ブート時の自動起動を設定します。また、標準の制御ポート（TCP 21）が正しくリスニングされているかを確認します。</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"><code class="language-bash" data-lang="bash"><span style="display:flex;"><span><span style="color:#75715e"># サービスの起動と有効化</span> </span></span><span style="display:flex;"><span>sudo systemctl enable --now vsftpd </span></span><span style="display:flex;"><span> </span></span><span style="display:flex;"><span><span style="color:#75715e"># リスニング状態の確認</span> </span></span><span style="display:flex;"><span>sudo netstat -ntlp | grep <span style="color:#ae81ff">21</span> </span></span></code></pre></div><p>💡 <code>netstat</code>のオプションにおいて、<code>-n</code>は数値表示、<code>-t</code>はTCPプロトコル、<code>-l</code>はリスニングソケット、<code>-p</code>はプロセスIDの表示を意味します。</p> <h2 id="2-vsftpdconfの構成とパッシブモードの最適化">2. vsftpd.confの構成とパッシブモードの最適化 </h2><p>FTPにはアクティブモードとパッシブモードの2種類が存在します。アクティブモードではサーバーからクライアントへデータ接続を開始するため、クライアント側のファイアウォールやNAT環境で通信が遮断されるケースが多いです。これを回避するため、クライアントからデータ接続を開始するパッシブモード（PASV）の利用が推奨されます。</p> <p>設定変更前に、既存の構成ファイルのバックアップを作成します。</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"><code class="language-bash" data-lang="bash"><span style="display:flex;"><span>sudo cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak </span></span></code></pre></div><h3 id="パッシブモードとセキュリティパラメータの定義">パッシブモードとセキュリティパラメータの定義 </h3><p><code>/etc/vsftpd/vsftpd.conf</code>を編集し、以下のパラメータを追記または修正します。これにより、パッシブモードで使用されるポート範囲を限定し、ファイアウォールでの制御を容易にします。</p> <pre tabindex="0"><code class="language-conf" data-lang="conf"># パッシブモードの有効化とポート範囲の指定 pasv_enable=YES pasv_min_port=50001 pasv_max_port=50010 # ユーザー隔離の設定 chroot_local_user=YES allow_writeable_chroot=YES </code></pre><p><code>chroot_local_user=YES</code>は、ユーザーを自身のホームディレクトリ内に閉じ込め、システムルート（/）へのアクセスを制限する重要なセキュリティ設定です。しかし、セキュリティ上の理由から、chroot先のディレクトリに書き込み権限がある場合、vsftpdはログインを拒否する仕様となっています。<code>allow_writeable_chroot=YES</code>を併用することで、この制限を緩和しつつ隔離環境を維持できます。</p> <p>🛠️ 設定反映のため、サービスを再起動します。</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"><code class="language-bash" data-lang="bash"><span style="display:flex;"><span>sudo systemctl restart vsftpd </span></span></code></pre></div><h2 id="3-firewalldによるネットワークアクセス制御">3. firewalldによるネットワークアクセス制御 </h2><p>サーバー側のファイアウォール（firewalld）において、FTP制御ポート（21/tcp）および先ほど定義したパッシブポート範囲（50001-50010/tcp）を明示的に許可する必要があります。</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"><code class="language-bash" data-lang="bash"><span style="display:flex;"><span><span style="color:#75715e"># FTPサービスおよびパッシブポート範囲の許可</span> </span></span><span style="display:flex;"><span>sudo firewall-cmd --permanent --add-service<span style="color:#f92672">=</span>ftp </span></span><span style="display:flex;"><span>sudo firewall-cmd --permanent --add-port<span style="color:#f92672">=</span>50001-50010/tcp </span></span><span style="display:flex;"><span>sudo firewall-cmd --reload </span></span></code></pre></div><h2 id="4-検証用ユーザーの作成と隔離確認">4. 検証用ユーザーの作成と隔離確認 </h2><p>設定の妥当性を検証するため、専用のテストユーザーを作成します。このユーザーを用いて、外部からの接続およびchrootによるディレクトリ移動制限が機能しているかを確認します。</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"><code class="language-bash" data-lang="bash"><span style="display:flex;"><span><span style="color:#75715e"># テストユーザーの作成</span> </span></span><span style="display:flex;"><span>sudo useradd ftpuser </span></span><span style="display:flex;"><span>sudo passwd ftpuser </span></span></code></pre></div><p>ログイン後、<code>pwd</code>コマンド等で自身のホームディレクトリより上位の階層へ移動できないことが確認できれば、chroot jailの構築は成功です。</p> <h2 id="operational-notes">Operational Notes </h2><p>実運用における最適化とリスク管理のために、以下の項目を検討してください。</p> <ul> <li><b>ポート範囲の設計</b>: 本構成ではパッシブポートを10個（50001-50010）に制限しています。これは同時接続数が少ない環境を想定したものであり、高負荷環境では接続数に応じてこの範囲を拡張する必要があります。</li> <li><b>SELinuxの考慮</b>: ⚠️ SELinuxがEnforcingモードの場合、<code>ftp_home_dir</code>などのブール値を適切に設定しないと、ホームディレクトリへのアクセスが拒否される場合があります。必要に応じて <code>setsebool -P ftp_home_dir on</code> 等の調整を検討してください。</li> <li><b>暗号化の欠如</b>: 本構成は標準的なFTP（プレーンテキスト）です。機密情報を扱う場合は、<code>ssl_enable=YES</code> によるFTPS（FTP over TLS）へのアップグレードが不可欠です。</li> </ul>