本日も千鳥足


上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。



PageTop

vsftpdで設定できるパラメータ一覧を書き出しました。
かなり長文になってますが、vsftpd設定で参考にされる方は
ぜひご覧ください。

VSFTPDの基本動作設定

listen=[YES or NO]
vsftpdをスタンドアロンモードで起動する設定。
inetdやxinetdから起動する場合は、NOにする。

listen_ipv6=[YES or NO]
IPv4ソケットの代わりにIPv6ソケットをリスンします。
このオプションとlistenオプションは
同時に有効にすることができません。

listen_address
スタンドアロンモードでvsftpdを起動するとき、リスンするアドレスを指定します。
このオプションを設定しないと、すべてのローカルインターフェースをリスンします。

background=[YES or NO]
vsftpdをスタンドアロンモードで起動するとき、プロセスをバックグラウンドジョブにします。

listen_address6
スタンドアロンモードでvsftpdを起動するとき、リスンするIPv6アドレスを指定します。

listen_port=numeric (Default:21番ポート)
スタンドアロンモードでvsftpdを起動するとき、FTP接続をリスンするポートを指定する。

nopriv_user (Default:nobody)
vsftpdが使用する非特権ユーザを指定します。デフォルトのnobodyユーザでなく、vsftpd専用の非特権アカウントを使用したほうがいいです。

run_as_launching_user=[YES or NO]
有効にすると、vsftpdを起動したユーザの権限で動作します。
このオプションを有効にすると、chrootを使用できないので注意が必要です。
また、他のオプションの使用が制限されます。

secure_chroot_dir (Default:/usr/share/empty)
vftpdがファイルアクセスを要求しないときに使用するディレクトリを指定します。
このオプションで指定するディレクトリは、ftpユーザが書き込み不可能な状態(所有者root、パーミッション755とか)にしておくことが必要です。

# ls -ld /usr/share/empty
drwxr-xr-x 2 root root 4096 1月 25 2003 /usr/share/empty/




ascii_download_enable=[YES or NO]
asciiモードのダウンロードを許可します。
無効にすると、すべてbinaryモードでダウンロードされます。

ascii_upload_enable=[YES or NO]
asciiモードのアップロードを許可します。
無効にすると、すべてbinaryモードでアップロードされます。

file_open_mode=numeric (Default:0666)
アップロードしたファイルのパーミッションを指定します。
実際のパーミッションは、anon_umaskオプション(匿名ユーザに適用、デフォルトは077)
またはlocal_umaskオプション(ローカルユーザに適用、デフォルトは077)で
指定した値でマスクされたものになります。

max_clients=numeric (Default:0 --- unlimited)
スタンドアロンモードでvsftpdを起動するとき、同時に接続可能な最大クライアント数を指定します。

max_per_ip=numeric (Default:0 --- unlimited)
スタンドアロンモードでvsftpdを起動するとき、同じIPアドレスから同時に接続可能な最大クライアント数を指定します。

tcp_wrappers=[YES or NO]
vsftpdがtcp_wrapperをサポートするようコンパイルされていれば、サーバへの接続はtcp_wrapperによって制御されます。

check_shell=[YES or NO]
/etc/shellsファイルをチェックします。このオプションは、PAMを使用しないときだけ効果があります。

pam_service_name
vsftpdが使用するPAMサービス名を指定します。

one_process_model=[YES or NO]
linuxカーネル2.4 を使用しているとき、ひとつのコネクションにひとつのプロセスだけ使用します。
このオプションを有効にするには、local_enableオプションが無効(= 匿名ログオンだけ可能)になっていなければなりません。

session_supoprt=[YES or NO]
セッションのログを、/var/log/wtmpファイルと/var/log/utmpファイルに記録します。
このオプションを有効にすると、誰がFTP接続しているかをwhoコマンドなどで確認することができます。

use_sendfile=[YES or NO]
sendfile()システムコールを使用するらしい。


setproctitle_enable=[YES or NO]
セッションの状態をプロセスリストに表示します。
このオプションを有効にして、psコマンドでプロセスリストをみると、
vsftpdの状態を確認することができます。


接続タイムアウトの設定

accept_timeout=numeric[sec] (Default:60)
このオプションで指定した時間内に、リモートクライアントがPASVデータコネクションを確立できなかった場合、切断します。

connect_timeout=numeric[sec] (Default:60)
このオプションで指定した時間内に、リモートクライアントがPORTデータコネクションに応答しなかった場合、切断します。

data_connection_timeout=numeric[sec] (Default:300)
このオプションで指定した時間、データを転送しなかった場合、切断します。

idle_session_timeout=numeric[sec] (Default:300)
このオプションで指定した時間内に、リモートクライアントがFTPコマンドを実行しなかった場合、切断します。

ログの設定

xferlog_enable=[YES or NO]

xferlog_std_format=[YES or NO]
xferlog_enableオプションを有効にすると、ファイルのアップロードとダウンロードをログファイルに記録します。
xferlog_std_formatオプションが無効のとき、vsftpd_log_fileオプション(デフォルトは/var/log/vsftpd.log)で指定したファイルにvsftpdスタイルでログを記録します。
xferlog_std_formatオプションが有効のとき、xferlog_fileオプション(デフォルトは/var/log/xferlog)で指定したファイルに wu-ftpd スタイルでログを記録します。

dual_log_enable=[YES or NO]
xferlog_enableオプションの設定にかかわらず、wu-ftpdスタイルの転送ログとvsftpd独自スタイルの転送ログを、ふたつのファイルに記録します。
無効にすると、xferlog_std_formatオプションの設定によって、どちらかのログが記録されます。
wu-ftpdスタイルの転送ログファイルは、vsftpd_log_fileオプション(デフォルトは/var/log/vsftpd.log)で指定できます。
vsftpdスタイルの転送ログファイルは、xferlog_fileオプション(デフォルトは/var/log/xferlog)で指定できます。

syslog_enable=[YES or NO]
xferlog_enableオプションの設定によらず、vsftpdスタイルのログを Linuxのsyslogに出力します。

vsftpd_log_file (Default:/var/log/vsftpd.log)
vsftpdスタイルのログを記録するファイル名を指定します。

xferlog_file (Default:/var/log/xferlog)
wu-ftpdスタイルのログを記録するファイル名を指定します。

log_ftp_protocol=[YES or NO]
すべてのFTPリクエストとレスポンスをログファイルに記録します。
デバッグに便利です。
dual_log_enableオプションが有効になっているか、
xferlog_enableオプションが有効かつxferlog_std_formatオプションが無効になっていれば、
dual_log_enableオプションが有効になっているか、
xferlog_enableオプションが有効かつxferlog_std_formatオプションが無効になっていれば、
vsfstd_log_fileオプション(デフォルトは/var/log/vsftpd.log)で指定したファイルに記録されます。
xferlog には記録されません。

no_log_lock=[YES or NO]
ログをファイルに書き込むとき、ファイルをロックします。
通常はこのオプションを有効にする必要はありません。


出力メッセージの設定

dirmessage_enable=[YES or NO]
ユーザが新しいディレクトリに初めて移動したとき、メッセージを表示します。
メッセージを格納するファイルは、message_fileオプション(デフォルトは.messageファイル)で指定できます。

message_file (Default:.message)
新しいディレクトリに初めて移動したとき、表示するテキストを含むファイル名を指定します。
dirmessage_enableオプションが有効であれば、このオプションの設定は有効です。

banner_file
サーバに接続したとき(ユーザ名を入力する前)に表示されるテキストを含むファイル名を指定します。
このオプションを設定すると、ftpd_bannerオプションは無視されます。

ftpd_banner
サーバに接続したとき(ユーザ名を入力する前)に表示されるテキストを指定します。


ディレクトリリスト表示 の設定

force_dot_files=[YES or NO] ユーザが "a" フラグをつけなくても、"." (ドット)ではじまるファイルやディレクトリを表示します。

hide_ids=[YES or NO]
ディレクトリリストを表示するとき、実際の所有者を隠して、ユーザとグループの情報を"ftp"と表示します。

text_userdb_names=[YES or NO]
ディレクトリリストを表示するとき、ユーザとグループの情報を/etc/passwdファイルを元にテキストで表示します。
このオプションを無効にすると、UIDで表示されます。

use_localtime=[YES or NO]
ディレクトリリストを表示するとき、時間をローカルタイムで表示します。
このオプションを無効にすると、GMT時刻で表示されます。


FTP コマンド の設定

async_abor_enable=[YES or NO]
"async ABOR"コマンドを有効にします。
一部のFTPクライアントでは、ファイル転送をキャンセルしようとすると、ハングアップしてしまう事があります。
その場合は、このオプションを有効にするといいようです。

chmod_enable=[YES or NO]
"SITE CHMOD"コマンドを有効にします。
このオプションはローカルユーザにのみ適用され、
匿名ユーザは常に"SITE CHMOD"コマンドを使用できません。

dirlist_enable=[YES or NO]
すべてのディレクトリリストコマンドを有効にします。
無効にすると、ディレクトリリストコマンド投入時、
"Permission denied."と表示されます。

download_enable=[YES or NO]
すべてのダウンロードコマンドを有効にします。
無効にすると、ダウンロードコマンド投入時、
"Permission denied."と表示されます。

ls_recurse_enable=[YES or NO]
TESにするとフォルダの一括 ダウンロード/アップロードができるようになります。
"ls -R"コマンド(ディレクトリリストを再帰的に表示)の使用を許可します。
大きなサイトのトップレベルディレクトリで"ls -R"コマンドを使用すると、
多くのリソースを消費するかもしれないので注意してください。

write_enable=[YES or NO]
ファイルシステムを変更するFTPコマンドを許可します。

STOP : ファイルアップロード
DELE : ファイル削除
RNFR : ファイル名変更
RNTO : ファイル名変更
MKD : ディレクトリ作成
RMD : ディレクトリ削除
APPE : データ追加
SITE : 拡張(任意のOSコマンドを実行)



cmds_allowed
許可されるFTPコマンドのリストを、カンマ区切りで指定します。
ログイン前のUSER、PASS、QUITは常に許可されます。

hide_file
パターンに一致するファイルとディレクトリを、ファイル一覧に表示しません。
表示されないだけなので、名前がわかっていればダウンロードなどの操作は可能です。

パターンを指定するとき、'*'(0文字以上の長さの文字列と一致)と'?'(任意の1文字と一致)を使用することができます。
パターンをひとつだけ指定するときは、下の例のように','をつけないとちゃんとパターンにマッチしないようです。ふたつ以上指定するときは、最後の','は不要です。
例)

hide_file={*.txt,}
hide_file={*.txt,*.doc}



deny_file
パターンに一致するファイル/ディレクトリに対し、すべての操作を禁止します。
ファイル一覧には表示さず、操作をしようとすると"Permission denied"になります。
hide_fileオプションとあわせて使うと、FTPクライアントから見て"存在しない"ファイル/ディレクトリを作ることができます。
パターンを指定するとき、'*'(0文字以上の長さの文字列と一致)と'?'(任意の1文字と一致)を使用することができます。
パターンをひとつだけ指定するときは、下の例のように','をつけないとちゃんとパターンにマッチしないようだ。ふたつ以上指定するときは、最後の','は不要です。
例)

deny_file={*.txt,}
deny_file={*.txt,*.doc}




tilde_user_enable=[YES or NO]
チルダを使ったディレクトリ指定("~user"のような)を有効にします。
/etc/passwdファイルを読むことができないとき、
チルダを使ったディレクトリ指定は失敗します。

※ このオプションの有効/無効に関わらず、そのユーザのログインディレクトリを示すチルダ("~"、"~/dir")は使用できます。


アクティブ FTPの設定

アクティブ FTPとは?
昔からある方法で、WindowsのFTPコマンドなどがこれにあたります。
FTPの制御(コマンドとレスポンス)に21番ポートを使用し、
FTPのデータ転送(lsコマンドの結果、ファイルのアップロード・ダウンロード)に
20番ポートを使用します。

port_enable=[YES or NO]
アクティブFTP(PORTスタイルのデータコネクション)を有効にします。

connect_from_port_20=[YES or NO]
特定のサーバポートを使用した、PORTスタイルのデータコネクション(いわゆるアクティブFTP)を有効にします。
使用するサーバのポートは、ftp_data_portオプション(デフォルトは 20)で指定でます。
このオプションを無効にすると、PORTスタイルデータコネクションで使用するサーバのポートは不定になります。
クライアントがファイアウォールの内側にいる場合、
アクティブFTPを使用するにはファイアウォールに穴を開ける必要があります。
サーバからクライアントへ向けてのコネクションに特定のポートを使用することにより、
ファイアウォールの設定をしやすくします。
(パッシブFTPを使用すれば、ファイアウォールに穴を開けなくてもすみます。)

ftp_data_port=numeric (Default:20)
アクティブFTPで使用するサーバポートを指定します。
connect_from_port_20オプションが有効であれば、このオプションの設定は有効です。

port_promiscuous=[YES or NO]
このオプションを無効にすると、
データコネクションがサーバからクライアントへの接続であることを保障します。
セキュリティチェックをしません。

パッシブ FTPの設定

パッシブFTPとは
ブラウザによるFTPなどがこれにあたります。
FTPの制御(コマンドとレスポンス)に21番ポートを使用し、
FTPのデータ転送(lsコマンドの結果、ファイルのアップロード・ダウンロード)に
任意のポートを使用します。

pasv_enable=[YES or NO]
パッシブFTPを有効にします。

pasv_max_port (Default:0 --- use any port)
pasv_min_port (Default:0 --- use any port)
PASVデータコネクションで使用する、最大ポートと最小ポートを指定します。
使用するポートの幅を設定することで、ファイアウォールに開ける穴を狭めることができます。

pasv_address
PASVコマンドの応答でクライアントに通知する、サーバのIPアドレスを指定します。

pasv_promiscuous=[YES or NO] このオプションを無効にすると、データコネクションと制御コネクションとが同じIPアドレスからの接続であるかのチェックをしません。

匿名ユーザの設定

anonymous_enable=[YES or NO]
匿名ユーザのログインを許可します。
有効にすると、"ftp"と"anonymous"が匿名ユーザとして認識されます。

ftp_username (Default:ftp)
匿名ユーザにマップされる、ローカルユーザを指定します。
このローカルユーザのホームディレクトリは、
匿名でFTPログインしたときのルートディレクトリとなります。

deny_email_enable=[YES or NO]
ログインを拒否する匿名パスワード(つまり、メールアドレス)のリストファイルを有効にします。
リストファイルは、banned_email_fileオプション(デフォルトは/etc/vsftpd.banned_emailsファイル)で指定できます。

banned_email_file (Default:/etc/vsftpd.banned_emails)
ログインを拒否する匿名パスワード(つまり、メールアドレス)のリストを含むファイル名を指定します。
deny_email_enableオプションが有効であれば、このオプションが検査されます。

secure_email_list_enable=[YES or NO]
有効にすると、匿名ログインを許可するパスワード(メールアドレス)の一覧を使用します。
パスワードの一覧は、email_password_fileオプションで指定したファイル(デフォルトは/etc/vsftpd.email_passwordsファイル)に記述します。

email_password_file (Default:/etc/vsftpd.email_passwords)
匿名ログインを許可するパスワード(メールアドレス)を記述したファイルを指定します。
secure_email_list_enableオプションが有効であれば、このオプション;の設定は有効です。

no_anon_password=[YES or NO]
匿名ユーザに対し、パスワード入力を求めません。

anon_root (Default:none)
匿名ユーザがログイン後にchrootされるディレクトリを指定します。
このオプションを設定しないと、ftp_usernameオプションで匿名ユーザにマップした、
ローカルユーザのホームディレクトリにchrootされます。

anon_world_readable_only=[YES or NO]
匿名ユーザはworld readable(少なくとも r--r--r--)なファイルのみダウンロードできます。
これを有効にしてanon_umaskオプションを"077"とすると、
匿名ユーザがアップロードしたファイルを匿名ユーザがダウンロードできなくなります。
(匿名ユーザがアップロードしたファイルのパーミッションは rw------- となり、world readableでないため)

anon_mkdir_write_enable=[YES or NO]
匿名ユーザが新規ディレクトリを作成することを許可します。
write_enableオプションが有効になっており、
親ディレクトリに匿名ユーザに対する書き込み許可が設定されていることが必要です。

anon_other_write_enable=[YES or NO]
匿名ユーザがファイルを削除すること、名前を変更することを許可します。
ディレクトリ作成とアップロードに関する許可/拒否は、別のオプションで指定します。
write_enableオプションが有効になっており、親ディレクトリに匿名ユーザに対する書き込み許可が設定されていることが必要です。

anon_upload_enable=[YES or NO]
匿名ユーザがファイルをアップロードすることを許可します。
write_enableオプションが有効になっており、親ディレクトリに匿名ユーザに対する書き込み許可が設定されていることが必要です。

chown_uploads=[YES or NO]
匿名ユーザがアップロードしたファイルの所有者を、chown_usernameオプションで指定したユーザににします。

chown_username (Default:root)
匿名ユーザがアップロードしたファイルの所有者を指定します。
chwon_uploadオプションが有効であれば、このオプションの設定は有効です。

anon_umask=numeric (Default:077)
匿名ユーザがディレクトリやファイルを作成する際に使用される umask を指定します。
このオプションを"077"と指定すると、ディレクトリのパーミッションは"700"、ファイルのパーミッションは"600"(file_open_modeオプションを"0666"と指定した場合)で作成されます。

anon_max_rate=numeric[byte/sec] (Default:0 --- unlimited)
匿名ユーザがデータ転送する際の、最大レートを指定します。


ローカルユーザの設定

local_enable=[YES or NO]
ローカルユーザのログインを許可します。
secure_chroot_dirオプションで適切なディレクトリを指定していることが重要です。

local_root (Default:none)
すべてのローカルユーザが、ログインした後に移動するディレクトリを指定します。
passwd_chroot_enableオプションが有効であれば、このオプションは検査されません。
このオプションが設定されていなければ、ホームディレクトリに移動します。
chroot_local_userオプションが有効であればchrootされます。
chroot_local_userオプションが無効であれば、単純にディレクトリを移動します。

chroot_local_user=[YES or NO]
下のchroot_list_enableを参照してください。
chroot_list_enable=[YES or NO]
chroot_list_fileオプションで指定したユーザリストファイルを読み込み、
chrootさせる(または、させない)などの設定。
ややこしい設定になるので下記参照してください。

chroot_list_enable=YES
chroot_local_user=YES
chroot_list_fileオプションで指定したファイルにリストされたユーザ以外はchrootされます。


chroot_local_user=YES
chroot_list_enable=NO
すべてのローカルユーザはchrootされる


chroot_local_user=NO
chroot_list_enable=YES
chroot_list_fileオプションで指定したファイルにリストされたユーザはchrootされる


chroot_local_user=NO
chroot_list_enable=NO
すべてのローカルユーザはchrootされない



chroot_list_file (Default:/etc/vsftpd.chroot_list)
chrootさせる(または、させない)ローカルユーザのリストを含むファイル名を指定します。

passwd_chroot_enable=[YES or NO]
このオプションとchroot_local_userオプションをともに有効にすると、
/etc/passwdファイルを元にユーザごとにchrootする場所を指定できます。
たとえば、/etc/passwdファイルが以下のように記述されているとします。

user:x:1010:1010::/home/./user:/bin/bash


このオプションが無効でchroot_local_userオプションが有効なとき、
userユーザでログインすると/home/userディレクトリにchrootされます。

# lsof -p 18919
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
vsftpd 18919 user cwd DIR 3,2 4096 904989 /home/user
vsftpd 18919 user rtd DIR 3,2 4096 904989 /home/user>


このオプションを有効にすると、/etc/passwdファイルにおいて "/./"は chroot させる場所を示すようになる。 userユーザでログインすると/homeディレクトリにchrootされます。

# lsof -p 18922
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
vsftpd 18957 user cwd DIR 3,2 4096 275208 /home/user
vsftpd 18957 user rtd DIR 3,2 4096 597969 /home


userlist_deny=[YES or NO]
userlist_enable=[YES or NO]
userlist_enableオプションが有効であれば、このオプションが検査されます。
userlist_fileオプション(デフォルトは/etc/vsftpd.user_listファイル)で
指定したファイルに含まれるユーザリストを元に、ログインの許可 / 拒否が決定されます。
ログインが拒否される場合、パスワード入力を求められる前に"Permission denied."が表示されます。
※userlist_enable、userlist_denyオプションを有効にした上、
vsftpd.user_listファイルにrootユーザなどの
FTPログインさせたくないユーザを記述しておいてください。

userlist_enable=YES
userlist_deny=YES
vsftpd.user_listに含まれるユーザ  拒否
vsftpd.user_listに含まれないユーザ 許可


userlist_enable=YES
userlist_deny=NO
vsftpd.user_listに含まれるユーザ  許可
vsftpd.user_listに含まれないユーザ 拒否


userlist_enable=NO
vsftpd.user_listに含まれるユーザ  許可
vsftpd.user_listに含まれないユーザ 許可



userlist_file (Default:/etc/vsftpd.user_list)
ログインを許可または拒否するユーザのリストを含むファイル名を指定します。

local_umask=numeric (Default:077)
ローカルユーザがディレクトリやファイルを作成する際に使用されるumaskを指定します。
このオプションを"077"と設定すると、ディレクトリのパーミッションは"700"、ファイルのパーミッションは"600"(file_open_modeオプションを"0666"と設定した場合)で作成されます。

local_max_rate=numeric[byte/sec] (Default:0 --- unlimited)
ローカルユーザがデータ転送する際の、最大レートを指定します。

user_config_dir (Default:none)
ユーザごとの設定を記述したファイルを置くディレクトリを指定します。
ローカルユーザがログインするときに設定ファイルを読み込むことで、
任意のオプションを上書きできます。
設定ファイルのフォーマットは、vsftpd.confと同です。

たとえば、下のように設定すると、
userユーザがログインするとき、/etc/vsftpd.user_config/userファイルを読み込みます。

user_config_dir=/etc/vsftpd.user_config


/etc/vsftpd.user_config/userファイルで設定していないオプションは、
メインのvsftpd.configの設定を引き継ぎます。
また、chroot_local_userオプションなど、一部のオプションは設定を上書きしないようです。


ゲストユーザ の設定

guest_enable=[YES or NO]
匿名でないすべてのログインを、ゲストログインとします。
ゲストとしてログインすると、guest_usernameオプション(デフォルトはftp)で指定したユーザに再マップされます。

guest_username (Default:ftp)
ゲストユーザにマップされる、ローカルユーザを指定します。
guest_enableオプションが有効であれば、このオプションの設定は有効です。

virtual_use_local_privs=[YES or NO]
このオプションを有効にすると、仮想ユーザはローカルユーザと同じ特権を使用します。
無効にすると、匿名ユーザと同じ特権を使用します。

user_sub_token (Default:none)
バーチャルユーザごとのホームディレクトリの名前を自動的に生成するとき使用します。
例をあげると、vsftpd.confの設定が

guest_enable=YES
guest_username=virtual
user_sub_token=$USER
local_root=/home/guest/$USER


となっている場合、virtualユーザとしてログインすると/home/guest/virtualディレクトリにchrootされます。
ホームディレクトリを自動的に作ってくれるんじゃないらしく、
そのディレクトリが存在しないとログインに失敗します。
local_rootオプションを指定する替わりに、/etc/passwdファイルに

virtual:x:1010:1010::/home/guest/$USER:/bin/bash


と書いても同じです。

FTP over SSLの設定

ssl_enable=[YES or NO]
FTP over SSLを有効にします。
ソースからビルドする場合は、README.sslファイルを参考に、
builddefs.hファイルを編集してからmakeします。

ssl_sslv2=[YES or NO]
ssl_enableオプションが有効のとき、SSL v2プロトコルによる接続を許可します。

ssl_sslv3=[YES or NO]
ssl_enableオプションが有効のとき、SSL v3プロトコルによる接続を許可します。

ssl_tlsv1=[YES or NO]
ssl_enableオプションが有効のとき、TLS v1プロトコルによる接続を許可します。
通常は、これを有効にしておくようです。

rsa_cert_file (Default:/usr/share/ssl/certs/vsftpd.pem)
SSL暗号化接続に使用するRSA証明書の場所を指定する。 opensslを使用してRSA証明書(自己署名)を作成するには、次のようにします。

# openssl req -newkey rsa:1024 -x509 -nodes -keyout vsftpd.pem -out vsftpd.pem


NextFTPクライアントからは、これでSSL暗号化接続が可能になります。しかし、
gFTPクライアントからは"self signed certificate"エラーになり接続できません。

dsa_cert_file (Default:none)
SSL暗号化接続に使用するDSA証明書の場所を指定します。

ssl_ciphers (Default:DES-CSC3-SHA)
SSL暗号化接続に使用する暗号スイートを指定します。
SSL v2、SSL v3、TLS v1それぞれのプロトコルで使用できる暗号スイートは、opensslで確認できます。

SSL v2
# openssl ciphers -v -ssl2

SSL v3
# openssl ciphers -v -ssl3

TLS v1
# openssl ciphers -v -tls1



allow_anon_ssl (Default:NO)
ssl_enableオプションが有効のとき、匿名ユーザがSSL暗号化接続を使用することを許可します。
強制ではありません。

force_local_logins_ssl (Default:YES)
ssl_enableオプションが有効のとき、ローカルユーザがSSL暗号化接続を使用してログインすることを強制します。
暗号化を使用しないと、"Non-anonymous sessions must use encryption."エラーになり、
ログインに失敗します。
このオプションが無効の場合でも、クライアントが要求すれば暗号化接続を使用できます。

force_local_data_ssl (Default:YES)
ssl_enableオプションが有効のとき、
ローカルユーザがSSL暗号化接続を使用してデータを送受信することを強制します。
暗号化を使用しないと、"Data connections must be encrypted."エラーになり、
データ送受信に失敗します。

以上がパラメータ設定の一覧です。
次回はまた別のサーバソフトの
パラメータを記載してみようと思います。




スポンサーリンク

関連スクラップ記事

関連エントリ抽出中...



PageTop

コメント


管理者にだけ表示を許可する
 

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。