HOMEサンプル問題・例題解説202試験の例題と解説212.2 FTPサーバの保護

202試験の例題と解説

212.2FTPサーバの保護

LinuC 202試験の試験範囲から「212.2 FTPサーバの保護」についての例題を解いてみます。
このテーマは【重要度2】です。FTPサーバのアクセス制御設定について理解しましょう。

■トピックの概要
このトピックの内容は以下の通りです。

<212.2 FTPサーバの保護>
重要度 2

<説明>
匿名でのダウンロードとアップロード用にFTPサーバを設定する。
これには、匿名でのアップロードを許可する場合に取るべき警戒と、ユーザによるアクセスを設定することも含まれる。

<主要な知識範囲>
・Pure-FTPdおよびvsftpdの設定ファイル、ツール、ユーティリティ
・ProFTPdについて知っている
・パッシブFTP接続とアクティブFTP接続について理解している

<重要なファイル、用語、ユーティリティ>
・vsftpd.conf
・重要なPure-FTPdのコマンドラインオプション


■例題
vsftpdを使用してFTPサーバを構築する。
特定のユーザを完全に接続させないようにする設定を次から2つ選択しなさい。

1. /etc/vsftpd/chroot_listにユーザ名を記載する。
2. /etc/vsftpd/userlistにユーザ名を記載する。
3. /etc/vsftpd/ftpusersにユーザ名を記載する。
4. anonymous_enableを有効にする。

※この例題は実際の試験問題とは異なります。

解答と解説

答えは 「2. /etc/vsftpd/userlistにユーザ名を記載する。」と「3. /etc/vsftpd/ftpusersにユーザ名を記載する。」です。

特定のユーザを完全に接続させないようにするには、/etc/vsftpd/userlistファイルを使用します。
/etc/vsftpd/userlistは、接続を許可または、禁止するユーザの一覧を記載するファイルです。
「userlist_enable」を有効にした場合は、/etc/vsftpd/userlistに記載されているユーザのみアクセスできるように制限されます。
逆に「userlist_deny」を有効にした場合は、/etc/vsftpd/userlistに記載されているユーザは、アクセスできないように制限されます。
この例題を満たすためには、「userlist_deny」を有効に設定します。

また、/etc/vsftpd/ftpusersファイルを使用して、特定のユーザを接続させないようにすることもできます。
一般的にこのリストには、root、その他の管理に使用するユーザ、システムアプリケーションを起動するユーザが記載されており、それらのユーザの接続を禁止するために使用します。

/etc/vsftpd/userlistと/etc/vsftpd/ftpusersにはセキュリティ面で違いがあります。
/etc/vsftpd/userlistを使用してユーザの接続を禁止する際は、ログイン時にユーザ名を入力した時点でアクセスを拒否されます。
それに対し、/etc/vsftpd/ftpusersを使用してユーザの接続を禁止する際は、ログイン時にユーザ名を入力し、パスワードを入力した時点でアクセスを拒否されます。
このことから、/etc/vsftpd/ftpusersで一般ユーザの接続を禁止してしまうと、パスワードを求められてしまうので、そのユーザが存在することを漏洩する可能性があります。

例題の選択肢について解説します。

1. /etc/vsftpd/chroot_listにユーザ名を記載する。
誤っています。
/etc/vsftpd/chroot_listは、chrootを制御するユーザの一覧です。
chrootとは、ログイン後にホームディレクトリをルートディレクトリのように見せ、それより上層のディレクトリにアクセスできなくなる設定です。
「chroot_list_enable」を有効に設定した場合、/etc/vsftpd/chroot_listで指定したユーザはchrootが有効になります。
ただし、「chroot_local_user」を有効に設定した場合、全てのユーザがchrootされます。
「chroot_local_user」と「chroot_list_enable」を有効に設定した場合、/etc/vsftpd/chroot_listで指定したユーザはchrootが無効になります。
特定のユーザを接続させないようにする設定ではないので、ここでは不正解です。

2. /etc/vsftpd/userlistにユーザ名を記載する。
正解です。

3. /etc/vsftpd/ftpusersにユーザ名を記載する。
正解です。

4. anonymous_enableを有効にする。
誤っています。
anonymous_enableは、anonymous ログインを許可するかどうかを制御します。 
有効にした場合、ユーザー名 ftp と anonymous の両方を anonoymous ログインとして認識します。
特定のユーザを接続させないようにする設定ではないので、ここでは不正解です。 


  • 今回の解説について、理解できないポイントがあればどんどん質問を。
  • 採用になった方にはLPI-Japanオリジナルの記念品を贈呈します。
  • ご質問・ご意見はこちら
  • ※上記の解説とその内容については、例題作成者の監修です。
    内容や試験問題に関わるお問い合わせにつきましては、LPI-Japan事務局ではお応えできませんのでご了解ください。

このページのトップへ