LinuCレベル2 Version 4.5 202試験の例題と解説
212.2FTPサーバの保護
LinuC 202試験の試験範囲から「212.2 FTPサーバの保護」についての例題を解いてみます。
このテーマは【重要度2】です。FTPサーバのアクセス制御設定について理解しましょう。
■トピックの概要
このトピックの内容は以下の通りです。
<212.2 FTPサーバの保護>
重要度 2
<説明>
匿名でのダウンロードとアップロード用にFTPサーバを設定する。
これには、匿名でのアップロードを許可する場合に取るべき警戒と、ユーザによるアクセスを設定することも含まれる。
<主要な知識範囲>
・Pure-FTPdおよびvsftpdの設定ファイル、ツール、ユーティリティ
・ProFTPdについて知っている
・パッシブFTP接続とアクティブFTP接続について理解している
<重要なファイル、用語、ユーティリティ>
・vsftpd.conf
・重要なPure-FTPdのコマンドラインオプション
■例題
vsftpdを使用してFTPサーバを構築する。
特定のユーザを完全に接続させないようにする設定を次から2つ選択しなさい。
1. /etc/vsftpd/chroot_listにユーザ名を記載する。
2. /etc/vsftpd/userlistにユーザ名を記載する。
3. /etc/vsftpd/ftpusersにユーザ名を記載する。
4. anonymous_enableを有効にする。
※この例題は実際の試験問題とは異なります。
解答と解説
答えは「2. /etc/vsftpd/userlistにユーザ名を記載する。」と「3. /etc/vsftpd/ftpusersにユーザ名を記載する。」です。
特定のユーザを完全に接続させないようにするには、/etc/vsftpd/userlistファイルを使用します。
/etc/vsftpd/userlistは、接続を許可または、禁止するユーザの一覧を記載するファイルです。
「userlist_enable」を有効にした場合は、/etc/vsftpd/userlistに記載されているユーザのみアクセスできるように制限されます。
逆に「userlist_deny」を有効にした場合は、/etc/vsftpd/userlistに記載されているユーザは、アクセスできないように制限されます。
この例題を満たすためには、「userlist_deny」を有効に設定します。
また、/etc/vsftpd/ftpusersファイルを使用して、特定のユーザを接続させないようにすることもできます。
一般的にこのリストには、root、その他の管理に使用するユーザ、システムアプリケーションを起動するユーザが記載されており、それらのユーザの接続を禁止するために使用します。
/etc/vsftpd/userlistと/etc/vsftpd/ftpusersにはセキュリティ面で違いがあります。
/etc/vsftpd/userlistを使用してユーザの接続を禁止する際は、ログイン時にユーザ名を入力した時点でアクセスを拒否されます。
それに対し、/etc/vsftpd/ftpusersを使用してユーザの接続を禁止する際は、ログイン時にユーザ名を入力し、パスワードを入力した時点でアクセスを拒否されます。
このことから、/etc/vsftpd/ftpusersで一般ユーザの接続を禁止してしまうと、パスワードを求められてしまうので、そのユーザが存在することを漏洩する可能性があります。
例題の選択肢について解説します。
1. /etc/vsftpd/chroot_listにユーザ名を記載する。
誤っています。
/etc/vsftpd/chroot_listは、chrootを制御するユーザの一覧です。
chrootとは、ログイン後にホームディレクトリをルートディレクトリのように見せ、それより上層のディレクトリにアクセスできなくなる設定です。
「chroot_list_enable」を有効に設定した場合、/etc/vsftpd/chroot_listで指定したユーザはchrootが有効になります。
ただし、「chroot_local_user」を有効に設定した場合、全てのユーザがchrootされます。
「chroot_local_user」と「chroot_list_enable」を有効に設定した場合、/etc/vsftpd/chroot_listで指定したユーザはchrootが無効になります。
特定のユーザを接続させないようにする設定ではないので、ここでは不正解です。
2. /etc/vsftpd/userlistにユーザ名を記載する。
正解です。
3. /etc/vsftpd/ftpusersにユーザ名を記載する。
正解です。
4. anonymous_enableを有効にする。
誤っています。
anonymous_enableは、anonymous ログインを許可するかどうかを制御します。
有効にした場合、ユーザー名 ftp と anonymous の両方を anonoymous ログインとして認識します。
特定のユーザを接続させないようにする設定ではないので、ここでは不正解です。
■例題作成者