• FTP の概要
• wu-ftpd のインストール
• ftpaccess ファイル
• ftpconversions ファイル
• guest グループ設定
• anonymous FTP サーバ

FTP はファイル転送をサポートするインターネット・サービスのひとつだ。 多くのサービスがそうであるように、FTP もサーバ・クライアント・モデルに基づいて実装されている。 FTP クライアント（ftp コマンド）を使ってサーバに接続すると、ファイルシステムに自由にアクセスできるようになる。 サーバからファイルを取ってくるダウンロードや、ファイルを送り込むアップロードなどを行うことができる。

FTP サーバへのアクセスには、ユーザ FTP と anonymous FTP の2種類がある。 ユーザ FTP は、ホストにアカウントを持つ一般ユーザ向けのサービスで、 ホストにログインしたとき同様にファイルシステムにアクセスすることができ、 またアップロードやダウンロードも自由に行える （パーミッションさえあれば）。 anonymous FTP（匿名 FTP）は、ホストにアカウントがなくとも使える便利なサービスだ。 だがユーザ FTP と違ってパスワード認証がないため、パーミッションの代わりの制限を用意しなければならないし、きちんと対策を施さないと重大なセキュリティ問題を引き起こす。

FreeBSD には標準の FTP サーバが付いているが標準的な機能しか持っていないため、 別のものに入れ替えることが望ましい。 お勧めなのは wu-ftpd だ。 サポートサイトは WU-FTPD で、さまざまな情報がここに集められている。 現在のところ最新版は 2.6.0 だ。

インストール手順は次の通り。

1. ソースの展開
   

     # tar zxf wu-ftpd-2.6.0.tar.gz
     # cd wu-ftpd-2.6.0
   

2. コンパイル
   2.5.0 まではへんちくりんな build スクリプトを使っていたが、 2.6.0 からは configure ですっきりまとめられたようだ。
   そのまま使うと、なんと /usr/sbin とかにインストールされて気持悪いので、 --prefix を使って /usr/local にずらすほうがよい。

     # ./configure --prefix=/usr/local
     # make
   

3. インストール
   'make install' で OK。

     # make install
   

   prefix を変更した場合、プログラム本体は /usr/local/sbin/in.ftpd となる。
4. 設定ファイルのコピー
   build スクリプトはコピーしてくれないので、自分でコピーする。

     # cd doc/examples
     # cp ftpaccess ftpconversions ftpusers /usr/local/etc
   

   内容は、もちろん変更しなければならない。 ftpaccess と ftpconversions の項を参照すること。
5. inetd.conf の変更
   ftp サービスのエントリを書き換える。

     ftp  stream  tcp  nowait  root  /usr/local/sbin/in.ftpd  in.ftpd -a
   

6. inetd の再起動
   HUP する。

     # killall -HUP inetd
   

ftpaccess は wu-ftpd の動作を決定するファイルだ。 デフォルトでは /usr/local/etc に置かれる。 まず、サンプルとして付いてくるファイルの内容を説明しよう。 これを参考にして、自分のサイトに合わせて変更を行えばよい。

• class all real,guest,anonymous *
  クラスとは、ユーザ種別と IP アドレスの組合わせに名前を付けたもので、様々な制限を設定するときに使うことができる。 書式は次の通り。

    class class_name typelist address
  

  typelist には real、guest、anonymous の3種類を指定できる。 real はアカウント・ユーザ、anonymous は anonymous FTP ユーザ、guest はアカウント・ユーザだが anonymous と同じ扱いをすべきユーザのグループ。
• limit all 10 Any /etc/msgs/msg.dead
  同時にアクセスできる人数を設定する。 制限したいクラス、人数、時間帯、制限を超えたときに表示するメッセージファイルを指定する。
  とりあえず人数は増やすべきだろう。 また、メッセージファイルも用意しなければならない。 ファイルの位置が気に入らなければ、/usr/local/share あたりに変えるとよい。
• readme README* login
  ログインしたとき、ディレクトリに README* にマッチするファイルがあれば表示する。
• readme README* cwd=*
  cd コマンドでディレクトリが変わったとき、ディレクトリに README* にマッチするファイルがあれば表示する。
• compress yes all
  compress オプションを有効にする。 クラス名を指定できるので、ユーザ単位で有効／無効を設定できる。
• tar yes all
  tar オプションを有効にする。 クラス名を指定できるので、ユーザ単位で有効／無効を設定できる。
• log commands real
  real ユーザが実行するコマンドのログを取る。 ログは /var/log/xferlog に記録される。 typelist に guest と anonymous も追加した方がよい。
• log transfers anonymous,real inbound,outbound
  ユーザが転送するファイルのログを取る。 誰がいつどのファイルをどうしたのかが、全部記録される。 typelist に guest を追加した方がよい。
• shutdown /etc/shutmsg
  決められたフォーマットの /etc/shutmsg を用意しておくと、シャットダウン時刻が近づいたときにメッセージを表示してユーザを拒絶する。 メンテナンスが近いときなどに利用できる。
• email user@hostname
  ftp の管理者のメールアドレスを指定する。 root とか ftp-admin などの有効なアドレスに変更しておく。

これ以外に、次の設定を追加するとよい。

• log security real,guest,anonymous
  セキュリティログを記録する。

ftpconversions ファイルも、ftpaccess 同様 /usr/local/etc に置かれる。 こちらのファイルでは tar や gzip などダウンロード時に利用できるアーカイブなどのファイル変換プログラムの設定を行う。

FreeBSD で使う場合、gzip や compress、tar のパスが異なっているので、それなりに変更する必要がある。 ファイルを編集して正しいパスにするか、パス名に合わせてプログラムをコピーするなどの対応をしておく。

guest と指定されたユーザ（またはグループ）は、アカウント・ユーザでありながら anonymous ユーザと同様にアクセス時にユーザのホームディレクトリに chroot される。 ホームディレクトリ以外のファイルシステムへのアクセスを禁止することができるわけだ。 guest 指定はユーザ名またはグループ名で行える。 ftpaccess ファイルに次の書式で設定する。

• guestgroup group1 group2...
  指定するグループに属するユーザを guest とする。 /etc/group で設定されている有効なグループ名を指定する。
• guestuser username1 username2...
  指定する名前のユーザを guest とする。

/etc/passwd の各ユーザのホームディレクトリのエントリを書き換えると、ftp アクセスしたときに chroot すべきディレクトリと、デフォルトで cd するべきディレクトリを指定することもできる。 エントリが「/usr/home/guest/./incoming」となっていると、「/usr/home/guest」に chroot され、incoming ディレクトリがログイン時のカレントディレクトリとなる。

guestgroup、guestuser と逆の働きをする realgroup、realuser というオプションもある。

guestuser *
realgroup admin

このように設定すると、admin グループ以外のすべてのユーザを guest とすることができる。

guest グループに入れられたユーザは、ftp アクセスしたとき /bin/ls が見えなくなってしまう。 このままだとディレクトリのリストが見られないので、ホームに /bin/ls をコピーしておかなければならない。

ユーザ名を anonymous としてサーバにアクセスすると、アカウントのパスワードではなくメールアドレスを尋ね、その上で匿名ユーザとしてログインを許すのが anonymous FTP サーバだ。 anonymous FTP は誰にでも使える便利なサーバだが、匿名性を隠れ蓑にイタズラを仕掛けられる可能性もあるので、むやみに許可するべきではない。 明確な理由や目的がない限り、設定しないようにすべきだ。

1. ユーザ ftp の作成
   anonymous サーバを立てるには、ftp という名前のアカウントを作成する。 ftpd は anonymous を受け付けると、ユーザ ftp でログインを許可するのである。 ftp ユーザを作成するときは、一般ユーザと同様に作成してはいけない。 次の点に注意して、注意深く設定する。
   • パスワードを無効（パスワード欄に '*' を記入）して、普通に login できないようにする。
   • gid は専用のものを割り当てる。たとえば ftp など。
   • ユーザ ftp のホームディレクトリが anonymous サイトのルートディレクトリになる。 /home/ftp でもよいが、たとえば /usr/local/share/ftp のような場所に移すのがお勧め。 /var/ftp に移すときは、パーティションのサイズに注意。
   • shell は /bin/false に変更する。
2. ftp ディレクトリの準備
   anonymous ディレクトリに、次のようなディレクトリとファイルを用意する。
   • bin
     ls コマンドをコピーしておく。
   • etc
     anonymous FTP 用の passwd と group ファイルを置く。 なくても別に問題はない（uid や gid が番号で表示される）。 単に /etc/passwd をコピーしたりすると大変なことになるので注意すること。
   • pub
     通常の anonymous FTP サイトでは、このディレクトリ以下がユーザに開放される。
   • usr/bin
     gzip や compress などを使わせるなら、ls コマンド同様コピーしておく。
   特に注意すべきなのはオーナーシップとパーミッションだ。 うっかりアクセスをオープンにすると、ls コマンドをトロイの木馬に置き換えられたりする。 次のような指針を参考にしてほしい。
   • オーナーシップはすべて root.wheel でよい。
   • bin は パーミッションを 111 とする。 ls コマンド自体も 111 でよい。 usr/bin を作ったなら、こちらも同様に設定する。
   • etc も同様にパーミッションを 111 とする。 passwd と group は 444 にしておく。
   • pub はパーミッションを 555 とする。
3. アップロードを許可する場合
   アップロードを許可するのは、はっきりいって無謀としか言いようがないが、もしどうしてもやりたいなら、受付専用の incoming ディレクトリを作成する。 incoming のオーナーシップは root.wheel、パーミッションは 733 にしておく。 この場合、anonymous ユーザは incoming ディレクトリにファイルをアップロードすることはできるが、ファイルのリストを得ることはできない。 incoming にアップロードされたファイルは、管理者が pub のしかるべき場所へ移動して公開することになる。
   アップロードを許可する場合は、ftpaccess ファイルにも変更が必要だ。 具体的には upload オプションを使って、次のように設定する。

     upload /usr/local/share/ftp  *          no
     upload /usr/local/share/ftp  /incoming  yes   ftp ftp  0666
   

   yes 以降の引数は、アップロードされるファイルの uid、gid、パーミッションを示す。

[back to index]