02) FTP接続時のアクセス制御
FTP接続は、FTPアカウントのユーザー名とパスワードが一致すれば誰でも利用が可能です。
そこで、さらにセキュリティを高めるために、FTPのアクセス元をIPアドレスで制限することができます。
例えば、Webドキュメントディレクトリ「/www/htdocs」には、社内LANからのFTPアクセスのみを許可し、社内LAN以外からのアクセスは行えない設定をするとします(必要な記述をした「.ftpaccess」ファイルを設置します)。すると下図のように、社内LANからは、「/www/htdocs」に対してFTP接続が可能ですが、それ以外の接続先(外部プロバイダなど)からは、「/www/htdocs」内は表示されません。
FTPアクセス制御の作業は、設定代行オプションにて承っております。
指定したIPアドレス以外からFTP接続を行うと、「.ftpaccess」ファイルが設置されたディレクトリは表示されません。
テキストファイルに以下を記述し、「.ftpaccess」というファイル名で、該当のディレクトリに設置します。
ファイル名は、「ドットftpaccess」です。頭の「.」を忘れないようにご注意ください。
このような動的IPアドレスの場合、上部3ブロックは変動せず、4ブロック目の数字が変動します。
その場合、以下のような記述で、上部3ブロックを含む全てのIPを指定する事が可能です。
他のIP範囲指定方法では、例えば、20.30.195.128から20.30.195.191までのホストIPを指定したい場合、ネットマスクを利用して、一括に指定する事ができます。
このネットマスクでの範囲指定の計算方法については、サポートしておりませんので、お客様ご自身でお調べ頂けますようお願い致します。
ここで指定した接続先IPアドレスからのFTP接続を行うと、「.ftpaccess」ファイルが設置されているディレクトリは表示されなくなります。
FTP接続を拒否する接続先についての設定は、以下のような記述になります。
拒否設定を複数行う場合は、以下のようになります。
そのため、以下の不可視設定を必ず行って頂けますようお願い致します。
展開したメニューの中の「ファイル管理」をクリックしてください。
以下のようにファイル管理ページが表示されます。
まず、下図のように「www」をクリックして下さい。
次に、「htdocs」をクリックしてください。
これが、webドキュメントのディレクトリです。
これから設置する「.ftpaccess」ファイルが、隠しファイルである為、今後の管理上、確認できる環境に変更する為です。
すると、入力ウィンドウが表示されます。
ここで、下図のようにFTP接続制御の設定を入力します。
新規ファイル名は、「ドットftpaccess」です。頭の「.」を忘れないようにご注意下さい。
制御設定記述後、「保存」ボタンを押して、設置の完了です。
そこで、さらにセキュリティを高めるために、FTPのアクセス元をIPアドレスで制限することができます。
例えば、Webドキュメントディレクトリ「/www/htdocs」には、社内LANからのFTPアクセスのみを許可し、社内LAN以外からのアクセスは行えない設定をするとします(必要な記述をした「.ftpaccess」ファイルを設置します)。すると下図のように、社内LANからは、「/www/htdocs」に対してFTP接続が可能ですが、それ以外の接続先(外部プロバイダなど)からは、「/www/htdocs」内は表示されません。
1.「.ftpaccess」ファイルによる制御は、FTP接続を行う場合のみの制御であり、webページの閲覧に影響はありません。
2.RSシリーズでは、FTPアクセス制御の設定はIPアドレスのみ可能です。ホスト名での指定は行えません。
3.「.ftpaccess」ファイル名や記述内容を誤りますと、正常にサーバー接続が行えなくなる場合がございますので充分ご注意ください。また、「.ftpaccess」の設置場所は、必ずサーバー管理者様側で確実に管理される事をお薦め致します。無作為に設定されますと、サーバー管理上、混乱が生じる事となります。
2.RSシリーズでは、FTPアクセス制御の設定はIPアドレスのみ可能です。ホスト名での指定は行えません。
3.「.ftpaccess」ファイル名や記述内容を誤りますと、正常にサーバー接続が行えなくなる場合がございますので充分ご注意ください。また、「.ftpaccess」の設置場所は、必ずサーバー管理者様側で確実に管理される事をお薦め致します。無作為に設定されますと、サーバー管理上、混乱が生じる事となります。
FTPアクセス制御の作業は、設定代行オプションにて承っております。
アクセス許可の設定
FTP接続を許可するIPアドレスを指定します。指定したIPアドレス以外からFTP接続を行うと、「.ftpaccess」ファイルが設置されたディレクトリは表示されません。
テキストファイルに以下を記述し、「.ftpaccess」というファイル名で、該当のディレクトリに設置します。
ファイル名は、「ドットftpaccess」です。頭の「.」を忘れないようにご注意ください。
<Limit LIST CWD MKD STOR DEL>
Order Allow,Deny
Allow from アクセスを許可するIPアドレス
Deny from all
</Limit>
複数のFTP接続先を許可設定する
FTP接続を許可する接続先が、複数ある場合は、下図のように、1行ずつ、接続許可先の記述を追加してください。
<Limit LIST CWD MKD STOR DEL>
Order Allow,Deny
Allow from アクセスを許可するIPアドレス その1
Allow from アクセスを許可するIPアドレス その2
Allow from アクセスを許可するIPアドレス その3
Deny from all
</Limit>
IPの範囲指定について
インターネットに接続する度にプロバイダに接続している場合、自身のIPアドレスは、その度毎に変化します。このような動的IPアドレスの場合、上部3ブロックは変動せず、4ブロック目の数字が変動します。
その場合、以下のような記述で、上部3ブロックを含む全てのIPを指定する事が可能です。
Allow from 20.30.195.
※3ブロック目の最後にドットが記述されていますので、ご注意下さい。
他のIP範囲指定方法では、例えば、20.30.195.128から20.30.195.191までのホストIPを指定したい場合、ネットマスクを利用して、一括に指定する事ができます。
Allow from 20.30.195.128/26
この記述は、IPアドレスを2進法の8ビットの数字で表した後、ビットストリングと比較して、何ビットマスク分の範囲になるかを記述するものです。このネットマスクでの範囲指定の計算方法については、サポートしておりませんので、お客様ご自身でお調べ頂けますようお願い致します。
アクセス拒否の設定
拒否設定は、許可設定と異なり、FTP接続を行えない接続先IPアドレスを指定するものです。ここで指定した接続先IPアドレスからのFTP接続を行うと、「.ftpaccess」ファイルが設置されているディレクトリは表示されなくなります。
FTP接続を拒否する接続先についての設定は、以下のような記述になります。
<Limit LIST CWD MKD STOR DEL>
Order Deny,Allow ←※この部分が許可設定と異なりますのでご注意下さい
Allow from all
Deny from アクセスを拒否するIPアドレス
</Limit>
拒否設定を複数行う場合は、以下のようになります。
<Limit LIST CWD MKD STOR DEL>
Order Deny,Allow ←※この部分が許可設定と異なりますのでご注意下さい
Allow from all
Deny from アクセスを拒否するIPアドレス その1
Deny from アクセスを拒否するIPアドレス その2
Deny from アクセスを拒否するIPアドレス その3
</Limit>
.ftpaccessファイルを不可視にする ※重要※
.ftpaccessファイルは、web上から内容を表示させる事が可能です。そのため、以下の不可視設定を必ず行って頂けますようお願い致します。
.htaccessファイルの設置
以下の記述をした「.htaccess」ファイルを、.ftpaccessのあるディレクトリに設置して下さい。
<Files ~ "^\.ftpaccess$">
deny from all
</Files>
deny from all
</Files>
「.ftpaccess」を設置したディレクトリに対して、コントロールパネルの「アクセス制御」機能を利用すると、「.htaccess」ファイルの管理が正常に行えなくなる場合があります。
例として、「.ftpaccess」を設置したディレクトリに、「アクセス制御」を設定した後、設定ユーザーの追加や削除を行うことで、「.htaccess」に記述してある前述の「.ftpaccess」に関する設定の一部が削除されてしまう事が確認されています。
「.ftpaccess」を設置したディレクトリに「アクセス制御」を行った場合は、「.htaccess」ファイルの記述内容を必ずご確認頂けますようお願い致します。
特に、ユーザー追加や削除などを行った場合は、記述内容が消えていないかどうかを必ずご確認頂けますようお願い致します。
例として、「.ftpaccess」を設置したディレクトリに、「アクセス制御」を設定した後、設定ユーザーの追加や削除を行うことで、「.htaccess」に記述してある前述の「.ftpaccess」に関する設定の一部が削除されてしまう事が確認されています。
「.ftpaccess」を設置したディレクトリに「アクセス制御」を行った場合は、「.htaccess」ファイルの記述内容を必ずご確認頂けますようお願い致します。
特に、ユーザー追加や削除などを行った場合は、記述内容が消えていないかどうかを必ずご確認頂けますようお願い致します。
コントロールパネルから「.ftpaccess」ファイルを設置
コントロールパネルから、FTPアクセス制御を行いたいディレクトリに、「.ftpaccess」ファイルを設置する事が可能です。(1)コントロールパネルの「ファイル管理」にアクセス
左側のメニューから「各種ツール」をクリックします。
展開したメニューの中の「ファイル管理」をクリックしてください。
以下のようにファイル管理ページが表示されます。
(2)webドキュメントディレクトリへ移動
次に、FTPアクセス制御を行うディレクトリ、webドキュメント(/www/htdocs)のディレクトリに移動します。まず、下図のように「www」をクリックして下さい。
次に、「htdocs」をクリックしてください。
これが、webドキュメントのディレクトリです。
(3)隠しファイルを表示させる
webドキュメントのディレクトリが表示されたら、下図にある「隠しファイルを表示する」に必ずチェックを入れてください。これから設置する「.ftpaccess」ファイルが、隠しファイルである為、今後の管理上、確認できる環境に変更する為です。
(4)FTP制御ファイルの作成
FTP制御を行いたいディレクトリの内部が表示された、下図のように「ファイル作成」ボタンを押します。すると、入力ウィンドウが表示されます。
ここで、下図のようにFTP接続制御の設定を入力します。
新規ファイル名は、「ドットftpaccess」です。頭の「.」を忘れないようにご注意下さい。
新規ファイル名:.ftpaccess
ファイルの内容:
<Limit LIST CWD MKD STOR DEL>
Order Allow,Deny
Allow from アクセスを許可するIPアドレス
Deny from all
</Limit>
