Rocky Linux 8
Sponsored Link

FTP サーバー : ProFTPD over SSL/TLS2021/08/06

ProFTPD を SSL/TLS で利用できるように設定します。
[1] 自己署名の証明書を作成します。
Let's Encrypt 等の信頼された正規の証明書を使用する場合は当作業は不要です。
[root@www ~]#
cd /etc/pki/tls/certs

[root@www certs]#
openssl req -x509 -nodes -newkey rsa:2048 -keyout proftpd.pem -out proftpd.pem -days 3650

Generating a RSA private key
writing new private key to 'proftpd.pem'
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
Country Name (2 letter code) [XX]:JP   # 国コード
State or Province Name (full name) []:Hiroshima    # 地域 (県)
Locality Name (eg, city) [Default City]:Hiroshima  # 都市
Organization Name (eg, company) [Default Company Ltd]:GTS  # 組織名
Organizational Unit Name (eg, section) []:Server World     # 組織の部門名
Common Name (eg, your name or your server's hostname) []  # サーバーの FQDN
Email Address []   # 管理者アドレス

[root@www certs]#
chmod 600 proftpd.pem

[2] ProFTPD の設定です。事前にこちらを参照して基本的な設定を実施しておきます
[root@www ~]#
vi /etc/sysconfig/proftpd
# TLS オプション追記

[root@www ~]#
vi /etc/proftpd/mod_tls.conf
<IfModule mod_tls.c>
  TLSEngine                     on
  # TLS 接続必須とする場合は変更
  TLSRequired                   on
  # コメント化
  #TLSCertificateChainFile       /etc/pki/tls/certs/proftpd-chain.pem
  # 作成した証明書に変更
  TLSRSACertificateFile         /etc/pki/tls/certs/proftpd.pem
  TLSRSACertificateKeyFile      /etc/pki/tls/certs/proftpd.pem
  TLSCipherSuite                PROFILE=SYSTEM
  # Relax the requirement that the SSL session be re-used for data transfers
  TLSOptions                    NoSessionReuseRequired
  TLSLog                        /var/log/proftpd/tls.log
  <IfModule mod_tls_shmcache.c>
    TLSSessionCache             shm:/file=/run/proftpd/sesscache

[root@www ~]#
systemctl restart proftpd

[3] Firewalld を有効にしている場合は、パッシブポートの許可が必要です。
[root@www ~]#
vi /etc/proftpd.conf
# 最終行に追記

# 任意の範囲のポートでパッシブポートを固定

PassivePorts                     60000 60100

[root@www ~]#
systemctl restart proftpd
# 固定したパッシブポートを許可

[root@www ~]#
firewall-cmd --add-port=60000-60100/tcp

[root@www ~]#
firewall-cmd --runtime-to-permanent

FTP クライアント : Rocky Linux
FTP クライアントの設定です。
[4] FTP クライアントインストール済みとして、Rocky Linux クライアントの場合、以下のように設定して FTPS に接続します。 接続後は通常通りの操作でファイル転送可能です。
[redhat@dlp ~]$
vi ~/.lftprc
# 新規作成

set ftp:ssl-auth TLS
set ftp:ssl-force true
set ftp:ssl-protect-list yes
set ftp:ssl-protect-data yes
set ftp:ssl-protect-fxp yes
set ssl:verify-certificate no
[redhat@dlp ~]$
lftp -u rocky

FTP クライアント : Windows
[5] Windows にインストールした FileZilla での FTPS 接続の設定です。
[ファイル] - [サイトマネージャ] を開きます。
[6] [新しいサイト] ボタンをクリックし、サーバーに接続する情報を入力して接続します。[暗号化] には [明示的な FTP over TLS が必要] を選択します。
[7] 接続ユーザーのパスワードを入力します。
[8] 自己署名の証明書の場合、以下のような警告が表示されますが、問題ないので [OK] ボタンをクリックして先へ進めます。
[9] 設定に問題なければ以下のように接続できます。問題なくファイル転送ができるか等々確認しておくとよいでしょう。