カテゴリー
Windows

うっちゃらかしっ放しの FTP サーバをイントラに建てる。

久しぶりに Link Check してリンクを直してたら、アップロードファイルの大きさでエラーが出た。 php.ini のその辺昔と変えてないんだけど、なんで?って思ったけど、よく考えたら、あんま重いものを外から上げさせないために昔も今も

post_max_size = 8M
upload_max_filesize = 2M

で、自分の記事で画像とか使うときは FillZilla でサーバをイントラに建てて、 FTP over TLS を使ってたんだった。

今ごろになってそれに気づくってのは、 Windows10 のサーバに変更してから、サーバウェアのアップデート以外のことをどれだけやってないか分かるってもんだ。😅

ほんでまあ、この際 FileZilla サーバを建てちゃおうってわけ。

1段階 FileZilla のサイトからサーバソフトをダウンロードする。 FileZilla Server Download

2段階 ダウンロードしたプログラムをサーバ機にインストールする。インストールディレクトリ以外はデフォルトのまま。

3段階 FTP Server / Security の設定。

Web サーバ用に Let’s Encrypt の証明書を使っているのでそれをそのまま利用。 key.pem と cert.pem は Apache の md の中にあるものね。

FTPS setting for Local
Security タグの位置変更

追記:今日(2022.02.20)に、 Server 1.3.0 が出てるのに気づいてアップデートしたんだが、 Security の位置が Administration に統合されていた。

参照ページ : Let’s encrypt – how?

4段階 ユーザーの設定をする。今回も私だけ。 Client からアクセスするときのパスワードも設定した。

5段階 ファイアウォールでの許可がいるので、 Windows10 のコントロールパネルより「Windows Defender ファイアウォール」>>「Windows Defender ファイアウォール 介したアプリまたは機能を許可」と進み、「設定の変更」をクリックすると「別のアプリの許可」ボタンが押し下げ可能になるので、クリック。参照から先ほどインストールした FileZilla Server フォルダの中の filezilla-server.exe を追加する。

参照ページ :  Windows8 でのやり方が下のほうに書いてある。

まっ、こんなとこ。

追記 使ってみたら Client からの接続を切るときに Server 上に下記の赤字エラーが出る。

下の4行のことです。

色々調べたら Trac に Tim Kosse特に問題なしのコメントがあって、同時に I’m looking into a way to suppress these messages during periods of no activity. というふうにあるんだけど、まだ変わってないみたい。

Windows 10 Home x64 version 21H1 19043.1348 上に
FileZilla Server version 1.1.0 を建ててて

FileZilla Client version 3.56.2 から使ってんですけどね。

The same article in English

カテゴリー
WordPress

起きてびっくり,サイト改竄? at よそ様。

投稿アップデート情報  追記

 昨朝,起きて WordPress の日本語ブログのダッシュボードに入って,びっくり。フォーラムのところに,なんと,「サイト改ざん?」の文字が乱舞している。

 いや,うちではないです。よそ様です。フォーラムに初投稿がされたのは一昨日のようだが,一昨日は,芋虫くんにかまけていて,気づかなかった。まぁ,昼からは,いろいろリアルも忙しかったし。

 昨日も昨日で,朝あらかた読んで,ひとまずうちには影響がなさそうなので,予定通りでかけてしまった。(汗)

 しかしねぇ,テストサイトに使っている atpages から,一昨日こういう連絡が来たばかりだったし,
 【@PAGES】【お詫び】ユーザ情報流失に関するお知らせ 2013.08.28
さらに昨日はこれが来たので,
 【@PAGES】【お詫び】ユーザ情報流出に関するお知らせ【第2報】2013.08.29
いずこも同じようなことがあるのかなと思ったわけだ。上記の事件と同じようなといわれたら, atpages は心外かもしれないが……幸いにして,狙われなかっただけ,という気もする。
 今のところ,「ロリポップサーバーでサイト改ざんハッキング被害に遭った方への情報」から跳べる「ロリポップサイト改ざん関連情報 (2013年8月)」を読んでも,はっきりとした原因はわからないわけだが,いろんなことで似たり寄ったりかなと思う。(爆)

 「Hacked by Krad Xin」でググると,表題にこの文字列が入ったものすごい数のサイトが現れる。上記の事件の発端が一昨日だから,事件関連の記事も多いわけだが,それを除いても(年月日設定を去年1年とかしても,ということ),すごい数だ。これって,要するにスクリプトを仕組まれているんじゃないのか?

 フォーラムの話の中に,
> 一般設定のサイトタイトルがHacked by Krad Xinとなっていたのを元のサイト名に戻しました
てのがあるからねぇ。

 今回のクラックはある意味,性がいいかも知れないとか思った。だってね,一番初めに投稿した方が書いているように,クラックされたサイトで文字化けがあったわけだ。そうすると,変だなぁって,気づくよね。「深く静かに潜航」するほうが,たちが悪い。ダメージが一緒なら,早く気づけるほうが手当ても早いわけだから,不幸中の幸いだよ。「Hacked by Krad Xin」でググったときに出てくるサイトのほとんどは,気づいてないのではなかろうか。

 まぁ,「ロリポップ」では,昨年から, WAF が標準装備って謳っていたみたいだけど,あんまり役立てられていなかったようだね。徳丸さんが,「ロリポップ上のWordPressをWAFで防御する方法 」を書いているので(去年の記事を,昨日の時点でタイトル変更,追記までしている),「ロリポップ」を使っている人は,今回の手当が済んだ後は,よく読んで取り組んだほうがいいと思う。

 レンタルサーバだと,導入されていない WAF は使いようがないだろうけど, WordPress 使いとして,せめて出来ることはやっておこう。前にも書いたけど,こんなとこが参考になると思う。

  1. WordPress のセキュリティ、こんな記事は要注意
  2. WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目
  3. Re: WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目

 セキュリティ関係はナマモノとはいうものの,上げられてる10個のうちの半分は, WordPress に限る話ではない。 up-to-date とか,パスワード強度とか,ユーザの啓蒙とか。最後のものなんて管理者だったら,一番苦労するとこ。

 しかし,管理者になっている方は,レベルの違いはあれ,日々勉強と縁が切れないってことだ。お互いに,ガンバ!!

追記:
 読み直してみて, wp-config.php や .htaccess のパーミッションの話を全く書いていないのに気付いた。今どき,あの環境で 404 , 604 は当たり前だろうとか思っていたせいで,書き忘れたのかな。結局, wp-config.php については, 400 ってことになったようだ。
 LINUX に詳しくないので,この辺がよくわからないのだが,レンタルサーバで public_html 下のファイルのオーナーと サーバソフトウェアのオーナーが違う場合, 400 にしちまうと, wp-config.php をビジターが使えなくてエラーになりそうな気がするが,その辺,ロリはどうなってんのだろ。
 詳しい方がいらっしゃったら,よろしく。

 ところで,先日
Windows ファイアーウォールからのアラートを受容すると自動的にルールが構築される。しかし,これが甘々なのである。 今回の場合でも,デフォルトだと,すべての IP アドレス&ポート(それも, TCP だけでなく UDP まで)についてオープンしている状態になる。これじゃあんまりなので,”セキュリティが強化された Windows ファイアウォール” の機能を使って,もう少しきっちりと制限しておくべきだと思うのであった。
と書いた件だが,ほかのパーソナルファイアーウォールを入れずに,”セキュリティが強化された Windows ファイアウォール”を使い続けている。この件で少し詳しい記事を書きたいと思っているが,今のところ,思っているだけ。
 一言愚痴っておくと,「スコープ」の細かい設定がしにくい。どなたか,その部分にデータをインポートするいい方法をご存じないですか。

カテゴリー
everyday life

サポートよりのお返事。

先日の問い合わせに対して,サポートより返事がきました。昨日,追加の問い合わせをしましたら,その返事も今日来ました。
結構早い対応です。でも,内容は残念ながら,FTP over SSL/TLS,SSH File Transfer Protocolともに未対応ということでした。
以下はその返信の引用です。
——————————————————————————————————————–
現時点で、接続時のセキュリティ面の強化は検討中となっております。
[リコンパイルなどがシステム調整が必要ですので、見合わせております。
システム側都合で申し訳ございません。]
対応した際などページへの表記を行いたいと思っております。
——————————————————————————————————————–