くだらない質問はここに書き込め!Part 59 (428レス)
上下前次1-新
抽出解除 レス栞
リロード規制です。10分ほどで解除するので、他のブラウザへ避難してください。
243(2): 2017/12/22(金)20:57 AAS
HP-UXにvsftpdを導入して利用しています
ftpサーバについて質問です
社内の複数の他部署とのファイル授受でftpを使う必要があるのでvsftpdを使ってます
ftp-dataはアクティブモード(PORT)としており、各部署との間に置いてあるファイアウォールも
それに対応するよう設定してました
しかしセキュリティ対策のためパッシブモードに切り替えろという通達があり、対応しようとしてます
普通そこはsftp化なんじゃね?とは思うのですが社内事情により・・・
そこでOSとvsftpdを設定し、パッシブでのftp-dataはTCP/10000〜10100で行うように
設定したのでファイアウォールも10000〜10100を開けるかなと思ってるのですが
複数の他部署向けのファイアウォールすべてで10000〜10100を開けるのもどうなの?と思い
もうちょっと制限を加えられないかと思ってます
例えば、接続元IPアドレスによりパッシブ用のポートを設定、例えばセグメントAからの接続は
10000〜10009、セグメントBからは10010〜10029、といった制限を設けたいと思ってますが
vsftpdでそういう設定はできますか?
もしくはそういったことが行えるftpサーバはありますか?
こんな風に沢山のポートを開けなきゃならない方が危険だと思ってパッシブモードは
使わなかったのですけど・・・
246(1): 2017/12/23(土)19:21 AAS
>>243
ほじくりかえすようでなんだけど、
セキュリティ対策だというのだから、
よりセキュアにしたいという意図が
あるのだよね
そこでftpパッシブモードにしろという
通達に違和感がある
ファイアウォールに大穴開けずに済む分
アクティブモードの方がセキュアだと
思うのだけど
パッシブモードとアクティブモードの
どちらがセキュアなんだろう
247: 2017/12/24(日)02:34 AAS
>>243
言葉の真意を憶測や予想はしたくないけど他部署の事情としてのセキュリティは
PASVで勝手にやらせて欲しいというのが「セキュリティ対策」であって君のFTPサーバは
その身勝手な通達に自らのセキュリティを壊す工夫をするってことかな?
重要なのは社内と言うこと、重要なのは双方がバランスよく最大のセキュリティを確保すること。
そして共通認識は社内というLANセグメントで双方はハンドシェイクできるってことだよね。
こういうと生意気かもしれないがFTPサーバとかアクティブとかパッシブという以前に
まずサーバ側の人間、クライアント側の人間もしくは統括の人間が生身の状態で握手をして
お互いの共通言語で会話をする、そして会話を噛み合うのか、お互いの胸襟が開いて
通じ合うのか。
その結果君の技術力、サーバの能力(実装の限界)、サーバのセキュリティを
相手のfire wallの事情をクライアントの事情や希望をバランストっての話じゃないかな?
なんで人間のプロコトルが確立しないのにサーバとクライアントが結ばれるか理解できない。
とりあえず向こうの希望な固定ポートでSSH組んでおけ、それに食い込めるか否か話はそれからだって言えばいい
上下前次1-新書関写板覧索設栞歴
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.029s