【追記 2010/12/16 17:20】
えーと、▲('A`)/です。
何か急に会社の中がザワザワしています。
どうやら、raichoのリブート実験が急遽始まりました。
今あぶらみ君( `э´)がKVM(リモートコンソール)からブートするHDDを
変更しています。
root兄弟(・∀・)(´・ω・`)が両脇で控えています。
まあ、▲('A`)はコーヒーをすすりながら、twitterのアカウントを新規取得
しています。
あ、緊急連絡フォームからraichoのリブート要請が来ました。
えーと、あぶらみ君( `э´)から「rootのパスワード、教えて」と来ました。
さてさて、ちょっと▲('A`)も緊急出動ですよー!
それでは、また。
【追記2 2010/12/16 17:35】
えーーーーーーー、▲('A`)/です。
今あぶらみ君( `э´)がApacheのindex.htmlを切り替えようと悪戦苦闘しています。
で、root弟(´・ω・`)がcpコマンドの使い方を今教えているところです。
しばらくお待ち下さい。
【追記3 2010/12/16 17:40】
はいはい、どうもどうも、▲('A`)/です。
今あぶらみ君( `э´)がraichoのApacheのindex.htmlを切り替えました。
ちなみに、あのお方が先程外出先から帰ってきて
.,/i/i
ミ 、|
./\;! raicho見れないんだけど・・・
,.イ., /
<;と_)_)
と慌ててました。
(今はroot兄(・∀・)とニダーランのお話をしています。)
えーと、皆さん、リブート実験が終わるまで、ニダーランでお楽しみ下さい。
ちなみにリブート実験の細かい状況はあぶらみ君( `э´)のツイッターを
みて下さい。
(あぶらみの屋根裏部屋からたどれます。)
【追記4 2010/12/16 18:00】
はーい、▲('A`)/です。
どうやらリブート実験はもうすぐ終わりそうです。
が、、、、最後の難所BIOS画面の呼び出しが待ちかまえています。
今日のリブート実験の最初でもBIOS画面を出すのに結構苦労していました。
(画面の切り替わりと表示が遅いので、キーを入れるタイミングが難しいのです。)
さあ、root兄弟(・∀・)(´・ω・`)と▲('A`)が見守る中であぶらみ君( `э´)が
BIOS呼び出しを始めました。
(ってか、リモートコンソールの画面を見ながら、あぶらみ君( `э´)の押す
キーの音で呼び出しが失敗とか、判断できるって・・・
root弟(´・ω・`)も人の域を超えちゃったか・・・
えーと、もうしばらくお待ち下さい、ね。
【追記5 2010/12/16 18:05】
お待たせしました、▲('A`)/です。
リブート実験が終わり、raichoは復活しました。
やはりBIOS画面の呼び出しは鬼門でした。
あぶらみ君( `э´)が15回チャレンジしてダメで、root弟(´・ω・`)も
5回目で呼び出せました。
で、ブートの順番を SATA > SSD にして再起動しました。
皆さんの環境からアクセスできるようになりましたか?
ご協力ありがとうございました。
(2010/12/16 10:15)
どうも、▲('A`)/です。
札幌も昨日雪化粧して辺り一面、白、白、白ですよ。ただし、滑る季節にもなりました。
▲('A`)は昨日の朝通勤途中に顔面から倒れこんでしまい、顔は手をついたので
大丈夫だったのですが、左膝を思いっきり擦り剥いて打ってしまいました。
血もとまらないし、とても痛いです。トホホ・・・・
えーと、今日は久々にFTPのお話ですよ。
以前(第212日目)お話した様に、バーチャルユーザ(OS上の実ユーザではなく、
FTPのみ利用可能な仮想ユーザの事)が利用できるソフトという事で、pureFTPDを
ご紹介しました。で、ProFTPDはどうかな、と調べて「ダメでした」と
いう結果でした。(第213、215日目でご報告・・・)
で、最後に残ったvsftpdはどうなのか試してみました。
結果から言いますと、いちおう仮想ユーザは使えるのですが、こういう構成でのみ
使える、という「但し」がつきます。
何がネックかと言いますと、仮想ユーザを利用できる様に設定すると、
実ユーザが利用できなくなる、という事です。
つまり、実ユーザと仮想ユーザを混合して利用する設定は出来ない様なのです。
えーと、色々積もる話はあるのですが、まずはインストール手順と設定方法を先に
説明しますね。そうでないと今お話した点のとっかかりが掴めないと思いますので。
さて、いつもながらportsからインストールします。
手順はこうです。(以降設定が終わるまで、スーパーユーザモードで行ないます。)
cd /usr/ports/ftp/vsftpd
make install clean
今回は仮想化に際して以下のソフトもインストールします。
cd /usr/ports/security/pam_pwdfile/
make install clean
|
で、vsftpdをインストールする際に以下の画面が表示されますが、
何も指定しないでそのまま進んで下さい。
あ、そうそう。
vsftpdはinetdから起動しますので、/etc/inetd.confにこう書きます。
ftp stream tcp nowait root /usr/local/libexec/vsftpd vsftpd /usr/local/etc/vsftpd.conf
注意点としては、仮に別のFTPをinetd経由で動かしていたら、使用ポートが
ぶつかっちゃうのでコメントアウトしておいて下さい。
次に設定です。
基本となる設定ファイルはvsftpd.confですが、これは、
/usr/local/etc/ に vsftpd.conf.dist というファイルがあるので、
これをコピーして vsftpd.conf を作ります。
(今回はこの様に設定しています。所々変なローマ字の説明が入っていますが、
気にしないで下さい。)
# tokumei no user ha NG desuyo
anonymous_enable=NO
# local user ha OK desuyo
local_enable=YES
# data koushin OK desuyo
write_enable=YES
# user ha subete virtual user desuyo
# (jitsu user ha user1 ni shimasuyo)
guest_enable=YES
guest_username=user1
# virtual user no setting ha koko wo mitene
user_config_dir=/etc/vsftpd_user_conf/
# virtual user no tokken settings
virtual_use_local_privs=YES
# passive mode tsukai masu
pasv_enable=YES
pasv_addr_resolve=YES
# ascii mode de tensou desuyo
ascii_upload_enable=YES
ascii_download_enable=YES
# chroot no settings
# chroot taishougai no user ha
# /etc/vsftpd/chroot_list ni touroku suru koto
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
# pam no setting
pam_service_name=vsftpd
# FTP log no settings
xferlog_enable=YES
xferlog_std_format=NO
vsftpd_log_file=/var/log/vsftpd.log
log_ftp_protocol=YES
# ikkatsu up/down ga dekimasuyo
ls_recurse_enable=YES
# sonota settings
local_umask=022
use_localtime=YES
connect_from_port_20=YES
secure_chroot_dir=/usr/local/share/vsftpd/empty
# inetd de kidou suru toki ha NO desuyo
listen=NO
# TCP-Wrappers de access wo seigen sinai
tcp_wrappers=NO
|
太字の部分は、
赤文字は仮想ユーザの設定で大事な項目、
黒文字はvsftpdの起動で大事な項目です。
青文字はvsftpdでのユーザ認証で大事な項目
となっています。
で、次に仮想ユーザを作ります。
作り方はちょうどBASIC認証の.htpasswdを作る時に似ています。
(というか、そのまんまなのですが・・・)
[コマンドの形式]
初めて作る時
htpasswd -c -b /etc/vsftpd/vsftpd_login ユーザ名 パスワード
別のユーザを追加する時
(登録されているユーザのパスワードを変更する時も同じ)
htpasswd -b /etc/vsftpd/vsftpd_login ユーザ名 パスワード
登録しているユーザを削除する時
htpasswd -D /etc/vsftpd/vsftpd_login ユーザ名
(例)
htpasswd -c -b /etc/vsftpd/vsftpd_login user1 desudesu
htpasswd -b /etc/vsftpd/vsftpd_login hoge1 pasu
htpasswd -b /etc/vsftpd/vsftpd_login hoge2 pasupasu
|
上記htpasswdのコマンドは知っていて損はありません。
で、気付いた人もいるかと思いますが、仮想ユーザだけでなく
実ユーザも登録している事に気付きましたか?
そうなんです。今日の日記の冒頭でお話しした様に、実ユーザと
仮想ユーザを混合して利用する設定は出来ないので、実ユーザも
登録しないと利用できないのです、ハイ。
こうやって作ったユーザ情報のファイルは/etc/vsftpd/vsftpd_loginに
作成されます。この通りです。
# cat /etc/vsftpd/vsftpd_login
user1:MQJZyuuAf3Zt6
hoge1:RRs8UotdeH9s.
hoge2:G1fKnrP/iKdak
#
|
どうですか?ユーザ名の横にある文字列が暗号化されたパスワードです
で、こいつを使える様にしないといけません。
通常FreeBSD標準のFTPはPAMを利用しているのですが、今回は先程
インストールしたpam_pwdfileというPAMモジュールを利用します。
(インストールされる場所は /usr/local/lib の中です。)
もしもFreeBSDのサーバを触れる人は /etc ディレクトリを見ると、
pam.dというディレクトリが見つかると思います。
この中には色々なサービスでどういうパスワードファイルをどういう
モジュールを使って参照し、認証するのかが書いています。
試しにどれか見て頂くと判ると思います。
(サーバ管理者にとっては /etc は「宝の山」なんですよねえ。)
# ls -l /etc/pam.d
total 36
-r--r--r-- 1 root wheel 2911 Jul 18 19:17 README
-rw-r--r-- 1 root wheel 327 Jul 18 19:17 atrun
-rw-r--r-- 1 root wheel 204 Jul 18 19:17 cron
-rw-r--r-- 2 root wheel 552 Jul 18 19:17 ftp
-rw-r--r-- 2 root wheel 552 Jul 18 19:17 ftpd
-rw-r--r-- 1 root wheel 370 Jul 18 19:17 imap
-rw-r--r-- 1 root wheel 472 Jul 18 19:17 kde
-rw-r--r-- 1 root wheel 379 Jul 18 19:17 login
-rw-r--r-- 1 root wheel 667 Jul 18 19:17 other
-rw-r--r-- 1 root wheel 323 Jul 18 19:17 passwd
-rw-r--r-- 1 root wheel 370 Jul 18 19:17 pop3
-rw-r--r-- 1 root wheel 333 Jul 18 19:17 rsh
-rw-r--r-- 1 root wheel 744 Jul 18 19:17 sshd
-rw-r--r-- 1 root wheel 384 Jul 18 19:17 su
-rw-r--r-- 1 root wheel 709 Jul 18 19:17 system
-rw-r--r-- 1 root wheel 759 Jul 18 19:17 telnetd
-rw-r--r-- 1 root wheel 537 Jul 18 19:17 xdm
#
# cat /etc/pam.d/ftp
#
# $FreeBSD: src/etc/pam.d/ftpd,v 1.19.10.1.4.1 2010/06/14 02:09:06 kensmith Exp $
#
# PAM configuration for the "ftpd" service
#
# auth
auth sufficient pam_opie.so no_warn no_fake_prompts
auth requisite pam_opieaccess.so no_warn allow_local
#auth sufficient pam_krb5.so no_warn
#auth sufficient pam_ssh.so no_warn try_first_pass
auth required pam_unix.so no_warn try_first_pass
# account
account required pam_nologin.so
#account required pam_krb5.so
account required pam_unix.so
# session
session required pam_permit.so
#
|
たとえば上のファイルftp の中を見ると、pam_unix.so を使って認証を
おこなっています。このモジュールで (たぶん)/etc/master.passwd の中を
見てユーザ情報をチェックしているはずです。
(Linuxだと /etc/passwd を見るんだと思います。)
さて、脱線しましたが、vsftpdでのユーザ認証(PAM)の設定を書きます。
/etc/pam.d/ に vsftpd というファイルを作ります。
このファイルがどこに影響するかというと、先程の vsftpd.conf 中の
青文字のところに生きてくるのです。
あそこでは pam_service_name=vsftpd と指定されていましたよね。
FTPで接続しようとした時にここで作ったファイルを参照して、
/etc/vsftpd/vsftpd_login の中を見て一致するかどうかを判断するのです。
auth required /usr/local/lib/pam_pwdfile.so pwdfile /etc/vsftpd/vsftpd_login
account required /usr/lib/pam_permit.so
|
さて、続けて、仮想ユーザ毎の設定を作ります。
まずは、仮想ユーザ hoge1 と hoge2 にとってのホームディレクトリを
作ります。
ここで、仮想ユーザの実際に利用するディレクトリは実ユーザ user1 の
ディレクトリ内にします。
で、各仮想ユーザの設定を補完する場所として、/etc/vsftpd_user_conf/ を
mkdir で作ります。
mkdir /etc/vsftpd_user_conf/
/etc/vsftpd_user_conf/hoge1
local_root=/home/user1/public_html/hoge1
/etc/vsftpd_user_conf/hoge2
local_root=/home/user1/public_html/hoge2
/etc/vsftpd_user_conf/user1
local_root=/home/user1/
|
これらの設定は以下の設定とリンクします。
guest_enable=YES
仮想ユーザを有効にしますよー、の意味
guest_username=user1
仮想ユーザにとって実体となるユーザはだれ?という事
user_config_dir=/etc/vsftpd_user_conf/
仮想ユーザ毎の設定が格納されている場所はどこ?という意味
chroot_local_user=YES
chrootのコントロールのモードを指定する
(chroot_list_enableの説明を見て下さい)
chroot_list_enable=YES
chroot_listに記載されているユーザをホームディレクトリより
上位に移動させないよー、の意味
(chroot_local_user=YES)の時は意味が変わる。
chroot_listに記載されているユーザをホームディレクトリから
上位の移動を制限しませんよー、の意味に変わる
chroot_list_file=/etc/vsftpd/chroot_list
chroot_listはどこに格納されているの?という意味
|
で、/etc/vsftpd/chroot_list は、とりあえず空のファイルを作ればOKです。
さて、以上の準備が終わったら、早速inetdを再起動しましょう。
inetdの再起動の仕方は、サーバをリブート(再起動)するのが簡単な方法です。
サーバを再起動はしたくないなあ、という人は以下の方法でやって下さい。
1) スーパーユーザモードで以下のコマンドを実行する。
ps ax | grep inetd
そうすると、こんな風に表示されます。
# ps ax | grep inetd
1352 ?? Is 0:00.00 /usr/sbin/inetd -wW -C 60
3452 0 S+ 0:00.00 grep inetd
#
2) プロセスIDを確認して、以下のコマンドを実行する
kill -HUP プロセス番号
上の例では kill -HUP 1352 となります。
こうする事でinetdのプロセスに対してHUP(hang up)というシグナルが
送られるのです。hang upと言ってもフリーズさせる訳では無くて、
リセット(再起動)しなさい、と言う意味なのです。
細々と書いちゃいましたが、接続確認はFTPソフトや、コマンド
プロンプトで、確認できます。以下では▲('A`)か社内サーバで
確認した時の模様を画像を使いながら説明しますよ。
まず、1枚目。
コマンドプロンプトで確認する時の方法です。
書式は telnet サーバのドメイン又はIP ポート番号
ポート番号は21番を指定しましょう。
続いて、2枚目。
最初の失敗です。結構あると思います。
これのどこが失敗かと言いますと、こればvsftpdではなく、FreeBSDの
標準で搭載されているFTPが応答しているのです。
なので、これが表示される場合には、/etc/inetd.conf を調べて
以下の行がコメントになっていないかをまず調べて下さい。
ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l
で、3枚目。
なんか失敗例ばっかり出しているなあ、と言わないで。
この場合は、一番疑わしいのは /usr/local/etc/vsftpd.conf の中で
listen=NO を指定していない(listen=YES になっている)場合が多いです。
確かめてみて下さい。
で、4枚目。
失敗例としては最後です。
これはメッセージにも表示されていますが、/usr/local/etc/vsftpd.conf の中で
secure_chroot_dir=/usr/local/share/vsftpd/empty が記載されていないので
起きます。
で、数々の失敗を乗り越えたら、こういう画面になります。
そう。接続に成功すると vsftpd と表示されているでしょう?
これが出たら、次はログインできるかです。
さっそく仮想ユーザでログインしてみましょう。
コマンドは User ユーザ名 です。
(今回のケースでは hoge1 でログインしました。)
そうすると、ユーザが登録されていると、上記メッセージが
表示されて「パスワードは?」と聞かれます。
次はパスワードを入力しましょう。
コマンドは Pass パスワード です。
(hoge1 の場合は pasu です。)
で、成功すると、上記画面の様に「230 Login successful」とメッセージが表示されます。
失敗すると、下記の様に「530 Login incorrect」と表示されます。
まあ、ここまで確認できたら、FFFTP等のFTPソフトからの
確認もやってみましょう。その際にはホームディレクトリの
上に上がれるか(本来は上がれない)を確認してみて下さい。
で、繰り返しになりますが、今まで説明した設定では、以下の構成を
実現できません。以下の構成を実現したい場合にはpureFTPdで構築して下さい。
(えーと、こうすればいいはず、というのを知っていたら、特化型スレか
開発室のピロリスレでお知らせ頂けると助かります。)
まあ、今まで取り上げたpure-FTPdやProFTPD、vsftpdのどれを使うかは
皆さんのサーバ環境ややりたい事等と相談して選択して下さい。
+---userA
|
+---userB
|
/home ------ user1 +
|_ public_html +-- ore_sennyou(d) <-- 俺様(user1)専用で使う
|
+-- hoge1(d) <-- ユーザ hoge1に使わせる
|
+-- hoge2(d) <-- ユーザ hoge2に使わせる
・user1、userA、userBは実ユーザで所有権等は独立している。
・hoge1、hoge2は仮想ユーザで、user1のディレクトリ化でアクセスする
・user1はhoge1、hoge2の中のデータを操作(更新、追加、削除)できる様にする。
・hoge1、hoge2はFTPのみ利用可能。Telnet、SSHは使えない。
|
さて、FreeBSDの8.2&7.4のBETA版が発表になりましたが、RC版はいつ頃に
なりますか・・・・ね?(予定としては12/17となっているのですが。)
感じとしては、BETA版は予定12/3 ->実際12/10 で1週間遅れで出たので、
何事もなければ12/24頃になるのかなあ?
クリスマス?の時期とぶつかるから、本家の人達大丈夫かなあ・・・?
もし、これを逃すと、年明け、という事も視野にいれないといけないですね。
まあ、その時にはゆっくりお休みします。
なんか、「Roundcubeがうんたら、かんたら」という話が聞こえてきまして・・・
なんだろうと思ったら、Webベースのメールシステムのことなんですね。
あれ?でもなあ、セキュリティ関連のニュースをみるとRoundcubeの脆弱性うんぬん
という記事も見かけたし・・・
ちょっと、明日鯖子J( 'ー`)しに詳しい事を聞いてみます。
それでは、また。▲('A`)/
|