SFTPサーバー機能

$Date: 2025/11/12 15:57:07 $

• 概要
• 注意事項
• 対応機種とファームウェアリビジョン
• 詳細
• コマンド
• SYSLOGメッセージ一覧
• 関連文書

概要

SFTP（SSH File Transfer Protocol）は、SSHによって暗号化された通信経路を利用して安全にファイルを転送するプログラムです。 ルーターのファイル転送プログラムとしてTFTPが実装されていますが、TFTPでは認証方式や暗号化方式が無いため、セキュリティ上のリスクがあります。 一方、SFTPでは認証とファイル転送の両方が暗号化されるため、遠隔から安全にルーターへのファイルの書き込みやルーターからのファイルの読み出しを行うことができます。 SFTPを用いることで以下の操作を行うことができます。

• ルーターの設定ファイルの読み出しと書き込み、ファームウェアのリビジョンアップ
• ルーターの内蔵フラッシュROMに構築されたファイルシステム(RTFS)、 外部メモリ(USBメモリとmicroSDカード)のファイルの読み出しや書き込み、削除や名前変更などのファイル操作

SFTPはSSHのサブシステムとして動作し、SSHの認証方式、暗号アルゴリズム、送信データ圧縮を使用します。 SSHの認証方式、暗号アルゴリズム、送信データ圧縮については、SSHサーバー機能を参照してください。

注意事項

• ルーター内蔵のフラッシュROM ( RTFS ) は、Luaスクリプト機能のスクリプトファイルやカスタムGUIのHTMLファイルなど、読み出し専用データを保存する用途として使用してください。RTFS領域や外部メモリへの頻繁な書き込みはデバイスの消耗を早めます。 頻繁に書き込みを行ったことが原因でフラッシュROMの故障に至った場合は、保証期間内であっても無償修理の保証対象外になります。
• メモリ使用率が高い状態でサイズの大きいファイルの読み出しや書き込みを行う場合は、メモリ不足によって転送に失敗することがあります。
• メモリ使用率が高い状態でRTFS領域にアクセスすると、メモリ不足により処理を完了できずファイルシステムに不整合が生じる可能性があるのでRTFS領域のファイルの書き込みや読み出しはできるだけメモリ使用率が低い状態で行ってください。
• RTFS領域へのアクセス中に電源を落としたり再起動したりすると、ファイルシステムが壊れてデータを読み出せなくなる恐れがあるので絶対に行わないでください。
• フラッシュROMは頻繁に読み書きすることを想定したデバイスではないので、アクセス速度はあまり速くありません。ファイルシステムの状態によってはアクセスを開始してから処理が完了するまで十数秒程度かかる場合もあります。

対応機種とファームウェアリビジョン

ヤマハルーターでは以下の機種およびファームウェアで、SFTPサーバー機能をサポートしています。

詳細

1. SFTPのアクセス制限

SFTPによるヤマハルーターへのアクセスには、以下の制限があります。

• SFTPでパスワード認証を使用する場合は、login user コマンドで設定されたユーザーのみ接続できます。login user コマンドで設定したパスワード、もしくは管理者パスワードでログインすることができます。無名ユーザーがSFTP接続することはできません。
  ログインするパスワードによって使用できるSFTPの対話コマンドが異なります。詳しくは別表を参照してください。
• SFTPで公開鍵認証を使用する場合は、login user コマンドで設定されたユーザーや無名ユーザーで接続できます。authorized_keysファイルにユーザーの公開鍵を登録することによりログインすることができます。
  user attribute コマンドの administrator 属性によって使用できるSFTPの対話コマンドが異なります。詳しくは別表を参照してください。
• 同時に複数のユーザーがログインすることはできません。
• sshd host コマンドでルーターのSSHサーバーへアクセスできるホストとして設定されている必要があります。
• SSHと同じポート番号(sshd listen コマンドで設定した番号(初期値：22))にアクセスする必要があります。
• sshd session コマンドで指定したSSHへの最大同時接続数を超える場合には、SFTPで通信しているユーザーがいなくても接続することはできません。


2. SFTPで接続するユーザーの管理

user attribute コマンドを用いることで、login user コマンドで設定した各ユーザーごとにSFTP接続の許可および禁止やSFTP接続できるパスワードを制限することができます。 また、disconnect user コマンドを用いることでSFTPサーバーに接続中のユーザーを強制的に切断させることができます。 以下に user attribute コマンドのSFTPサーバーに関する仕様拡張について説明します。 user attribute コマンドの詳細については、user attributeコマンドを参照してください。 SFTP接続中のユーザーの強制切断については、disconnect userコマンドを参照してください。

入力形式：
user attribute [user] attribute=value [attribute=value...]
no user attribute [user]

attribute	value	説明
administrator (RTX840、RTX3510、RTX1300)	2	administratorコマンドのパスワード入力無しで管理ユーザーに昇格することができる。またGUIの管理者ページへ接続することができる。 SFTPサーバーにおける本属性の役割は以下の通りです。 ●パスワード認証を使用する場合 ・login userコマンドで設定したパスワードでSFTP接続した場合 一般ユーザーの権限でログインします。ファイルリストの閲覧が可能です。ファイルの読み出しや書き込み、リビジョンアップはできません。 使用できるSFTPの対話コマンドは、別表を参照してください。 ・管理者パスワードでSFTP接続した場合 管理者の権限でログインします。SFTPの対話コマンド全てを実行することが可能です。 使用できるSFTPの対話コマンドは、別表を参照してください。 ●公開鍵認証を使用する場合 ・管理者の権限でログインします。SFTPの対話コマンド全てを実行することが可能です。使用できるSFTPの対話コマンドは、別表を参照してください。
	1	administratorコマンドにより管理ユーザーに昇格することができる。またGUIの管理者ページへ接続することができない。 SFTPサーバーにおける本属性の役割は、上記 administrator = 2 と同じ。
	off	administratorコマンドにより管理ユーザーに昇格することができない。またGUIの管理者ページへ接続することができない。 SFTPサーバーにおける本属性の役割は以下の通りです。 ●パスワード認証を使用する場合 ・login userコマンドで設定したパスワードでSFTP接続した場合 一般ユーザーの権限でログインします。ファイルリストの閲覧が可能です。ファイルの読み出しや書き込み、リビジョンアップはできません。 使用できるSFTPの対話コマンドは、別表を参照してください。 ・管理者パスワードでSFTP接続した場合 ログインすることができません。 ●公開鍵認証を使用する場合 ・一般ユーザーの権限でログインします。ファイルリストの閲覧が可能です。ファイルの読み出しや書き込み、リビジョンアップはできません。 使用できるSFTPの対話コマンドは、別表を参照してください。
administrator (上記以外)	on	administratorコマンドにより管理ユーザーに昇格することができる。またGUIの管理者ページへ接続することができる。 SFTPサーバーにおける本属性の役割は、上記 administrator = 2 と同じ。
	off	administratorコマンドにより管理ユーザーに昇格することができない。またGUIの管理者ページへ接続することができない。 SFTPサーバーにおける本属性の役割は、上記 administrator = off と同じ。
connection	off	すべての接続を禁止する。
	all	すべての接続を許可する。
	serial	シリアルコンソールからの接続を許可する。
	telnet	TELNETによる接続を許可する。
	ssh	SSHによる接続を許可する。
	sftp	SFTPによる接続を許可する。
	remote	リモートセットアップによる接続を許可する。
	http	GUI設定画面への接続を許可する。
host	IPアドレス	指定したホストからの接続を許可します。
	any	すべてのホストからの接続を許可します。
multi-session	on	同一ユーザー名によるTELNETまたは、SSHでの複数接続を許可する。 ※SFTPは同時に複数のユーザーがログインすることはできません。
	off	同一ユーザー名によるTELNETまたは、SSHでの複数接続を禁止する。
login-timer	120..21474836, clear	ログインタイマーを設定する。login timerコマンドで設定されたタイマー値よりもこのコマンドで設定したタイマー値が優先されます。SFTPでは、SSH同様に login-timer = clear と設定されていてもタイマー値は300秒として扱います。

[初期値]

• administrator = 1(RTX840、RTX3510、RTX1300)
• administrator = on(上記以外)
• connection = serial, telnet, ssh, sftp, remote, http
• host = any
• multi-session = on
• login-timer = 300


3. SFTPサーバーを利用するために必要な設定

SFTPサーバーを利用するために、あらかじめ以下の設定を行う必要があります。

login user ユーザー名 パスワード	... (1)
user attribute ユーザー名	... (2)
sshd host IPアドレス	... (3)
sshd host key generate	... (4)
sshd service on	... (5)
sftpd host IPアドレス	... (6)

(1)	ログインユーザーの登録 ログインユーザー名とパスワードを設定します。
(2)	ユーザーの属性を設定 ログインユーザーにSFTPによる接続を許可します。 user attribute コマンドは初期状態でSFTP接続を行うことができます。 必要に応じて、管理ユーザーに昇格する権限の設定を変更します。 user attribute コマンドは初期状態で管理ユーザーに昇格を許可しています。
(3)	SSHで接続を許可するホストを設定 SSHで接続するホストのIPアドレスを設定します。 IPアドレスには、IPv4アドレスまたはIPv6アドレスが設定できます。
(4)	SSHサーバーのホスト鍵の生成 DSAまたはRSAの公開鍵および、秘密鍵のペアを生成します。 鍵の生成には、数十秒ほど時間がかかります。
(5)	SSHサーバー機能を有効にする SFTPサーバー機能は、SSHの認証および暗号化を使用しますので、SSHサーバー機能を有効にする必要があります。
(6)	SFTPで接続を許可するホストを設定 SFTPで接続を許可するホストのIPアドレスを設定します。 sshd host コマンドでSSHサーバーへのアクセスが許可されたホストの中で、SFTPで接続するホストを制限することができます。 IPアドレスには、IPv4アドレスまたはIPv6アドレスが設定できます。

※公開鍵認証を使用するためには、上記の設定に追加してauthorized_keysファイルにユーザーの公開鍵を登録する設定が必要です。
詳細は、こちらをご確認ください。


4. ディレクトリ構造

SFTPサーバーでは以下のようなディレクトリ構造が構築されます。

	SFTPサーバーのルートディレクトリ
	  |
	  +--system/	ルーターの設定ファイルとファームウェアファイルとtechinfoの格納ディレクトリ
	  |
	  +--sd1/	microSDカードのルートディレクトリ(microSDカード挿入時のみ表示)
	  |
	  +--usb1/	USBメモリのルートディレクトリ(USBメモリ挿入時のみ表示)
	  |
	  +--RTFS領域のルートディレクトリにあるファイルやディレクトリ

• ログインするとSFTPサーバーのルートディレクトリがカレントディレクトリになります。
• RTFSのルートディレクトリにあるファイルやディレクトリは、systemディレクトリと並列に配置されます。
• RTFSのルートディレクトリに"system"というファイルまたはディレクトリがある場合や、ルーターで利用できる外部メモリのプレフィクス名(usb1やsd1)と同一のファイルまたはディレクトリが存在する場合、SFTPでそれらを扱うことはできません。各機種で扱うことができないファイル名またはディレクトリ名は以下のとおりです。

機種	扱えないファイル名またはディレクトリ名(※1)
vRXシリーズ(※2)	system, mount
SRT100	system, usb1
RTX840, RTX3510, RTX1300, RTX1220, RTX1210, RTX1200, RTX830, RTX810, FWX120, NVR700W, NVR510	system, usb1, sd1
NVR500	system, usb1, usb2, sd1

※1 : これらのファイル名やディレクトリ名はRTFSのルートディレクトリ以外では使用することができます。
※2 : vRXシリーズのファイルシステムについてはこちらを参照してください。

• RTFS領域や外部メモリの書き込み可能容量などの制限はRTFSに準じます。
• systemディレクトリおよび配下のファイルは、削除、名前の変更を行うことはできません。
• systemディレクトリ配下のファイルで、読み出しおよび書き込みが可能なファイルには以下のものがあります。

設定ファイル	読み出し	config（※1）、configN (N : 0〜4.2)
	書き込み	config（※1）、configN (N : 0,1,2,3,4)
ファームウェア(※2)(※3)	書き込み	exec（※1）、exec0、exec1
techinfo(※4)	読み出し	techinfo

※1 : ファイル番号を省略した場合は、起動中のファイルを対象とします。
※2 : ファームウェアの表示においてリビジョン番号が表示されます。[表示例： exec(Rev.10.00.60)]
      ただし、RTX1200 Rev.10.01.29以前のファームウェアでは、リビジョン番号が表示されません。
      実際にファームウェアを書き込む場合は、"exec"や"execN"と指定することで書き込むことができます。
※3 : vRXシリーズでは使用できません。
※4 : show techinfoコマンドの出力内容を"techinfo"として取得します。
      ただし、RTX1200 Rev.10.01.29以前のファームウェアでは、"techinfo"を取得することはできません。

絶対パスと相対パス

WindowsのコマンドプロンプトやUNIX系OSのシェルでは、一般的にファイルやディレクトリの指定方法としてルートディレクトリ '/' から記述する絶対パスと、 カレントディレクトリを基点として目的のファイル、ディレクトリがどこにあるのかを示す相対パスの2種類があります。 SFTPサーバー機能では、絶対パスと相対パスの両方を用いることが可能です。UNIX系のSFTPの仕様に従い、ホームディレクトリを示す ~ (チルダ)を用いることはできません。

5. SFTPサーバー 動作確認済のSFTPクライアント

2019年7月時点の動作確認結果です。動作を保証するものではありません。使い方は、SFTPクライアントの説明書などをご確認ください。

• OpenSSHクライアント 7.2
• OpenSSH for Windowsクライアント 7.7
• WinSCP 4.2.5
• OpenSSH for Windows 3.8
  ※クライアントソフトの不具合によって正常なファイル転送が行えない場合があることがわかりましたので動作確認済みリストから外します(2011年7月)

【WinSCP使用時の推奨設定項目と注意点】

※WinSCPバージョン4.2.5での設定変更方法を記載します。バージョンによって設定変更方法が異なる場合があります。

• 推奨設定項目
• 一時ファイル名での転送の無効化
  WinSCPでは一時ファイル名での転送が有効な場合、systemディレクトリのような任意のファイル名の書き込みが禁止されている領域へのファイルの書き込みを行うことができません。一時ファイル名での転送を無効にしてください。
  メニューの｢表示｣ -> ｢環境設定｣ -> ｢接続時間｣で変更することができます。
• 転送モードの変更
  リビジョンアップを行う場合は、バイナリモードでファイルを転送する必要があります。
  ※ファームウェア以外のファイルをバイナリモードで転送しても問題はありません。
  メニューの｢表示｣ -> ｢環境設定｣ -> ｢転送｣ -> ｢転送モード｣で変更することができます。
• 自動再接続の無効化
  リビジョンアップ直後などヤマハルーターから切断された場合に自動再接続が行われると、WinSCPが正常に動作しないことがあります。 メニューの｢表示｣ -> ｢環境設定｣ -> ｢転送｣ -> ｢転送モード｣で変更することができます。
  


• 注意点
• リビジョンアップの正常終了の確認について
  リビジョンアップを行った場合、リビジョンアップが終了するまでルーターからの応答が無くなるため、タイムアウトによる確認ダイアログが表示されます。リビジョンアップが正常に終了した場合は、"Disconnect for restarting router"という切断メッセージが表示されますのでこの切断メッセージが表示されるまでWinSCPを操作しないでください。タイムアウトのよる確認ダイアログに従って再接続すると再度リビジョンアップが行われる場合があります。
• ファイルの内容の書き換えについて
  WinSCPではダブルクリック等の操作によってローカルにファイルを保存せずルーター上のファイルの内容を閲覧することができます。この時WinSCPのエディタによってファイルが開かれるため、編集することができますが、編集後のファイルをルーターに保存することはできません。ファイルを書き換える場合はファイルを一度ローカルへ読み出して編集した後、書き込みを行ってください。
• techinfoファイルについて
  ログが多い状態で以下の操作を行うと、ログの量に応じて応答時間が遅くなります。また、これらの操作が完了するまでにCPUの使用率が100%になる場合があります。
  • systemディレクトリを開く
  • ls system コマンドを実行する
  • techinfoファイルを開く
  WinSCPのログイン設定「接続」->「サーバ」->「サーバのタイムアウト」に設定されている秒数に合わせて、 「ホストからの応答がXX秒以上ありません。待機しています...」という確認ダイアログが表示されますが、中止ボタンを押さないでお待ちください。
  これらの操作を早く行いたい場合は、あらかじめ clear log コマンドでログを消去するようにしてください。
• ファイルの移動について
  SFTPの仕様としてファイルを移動させることはできません。
• ディレクトリの削除について
  WinSCPでディレクトリを削除した場合、ディレクトリ配下のファイルやディレクトリまで再帰的に削除されます。 ルートディレクトリにおいてsd1やusb1といった外部メモリのルートディレクトリを削除しようとした場合には、 外部メモリのルートディレクトリは削除できないため、エラーとなりますが外部メモリ内のファイルやディレクトリは削除されます。
• ファイル転送中のタイムアウトについて
  ガベージコレクトや ルーターのCPU使用率が高い状態でのファイル転送によって一時的に応答が返せない状況では、タイムアウトによる確認ダイアログが表示されることがあります。 ガベージコレクトの完了等によって応答が返せるようになると確認ダイアログは自動的に消えますので転送中止などの操作を行わないでください。


6. SFTP の使用例

SFTPによる設定ファイルの読み書きと、ファームウェアのリビジョンアップの手順を紹介します。

以下の手順において、いずれの場合も、ヤマハルーターのIPアドレスを 192.168.0.1、ユーザー名を"yamaha"、管理者パスワードでログインするとします。パスワード認証を使用した例です。

【OpenSSH 5.3での手順】

1. 設定ファイルの読み出し

設定ファイル"config"を"OLDconfig.txt"に読み出すものとします。

> sftp yamaha@192.168.0.1
Connecting to 192.168.0.1...
Password:
sftp> get system/config OLDconfig.txt
Fetching /system/config to OLDconfig.txt
/config						100% 570     0.6KB/s   00:00
sftp>

2. 設定ファイルの書き込み

ホストにあるファイル"NEWconfig.txt"を設定ファイル"config1"に書き込むものとします。

> sftp yamaha@192.168.0.1
Connecting to 192.168.0.1...
Password:
sftp> put NEWconfig.txt system/config1
Uploading NEWconfig.txt to /system/config1
NEWconfig.txt					100% 4260    4.2KB/s   00:00
sftp>

3. ファームウェアのリビジョンアップ

ホストにあるファイル"rtx1200.bin"をファームウェア"exec0"に書き込むものとします。
リビジョンアップが正常に終了すると、自動的にルーターが再起動します。

> sftp yamaha@192.168.0.1
Connecting to 192.168.0.1...
Password:
sftp> put rtx1200.bin system/exec0
Uploading rtx1200.bin to /system/exec0
rtx1200.bin					100% 3488KB  768.4KB/s   00:05
sftp> Received disconnect from 192.168.0.1: 2: Disconnect for router restart

ファームウェアの転送が終了し、ファームウェアの書き込みが正常に終了するとセッションが自動切断されます。
ファームウェアの転送からセッションの自動切断まで数十秒間はプロンプト(sftp>)が戻りません。

4. USBメモリへのファイルの書き込み

ファイル"config.txt"をUSBメモリのルートディレクトリに"memory.txt"という名前で書き込むものとします。

> sftp yamaha@192.168.0.1
Connecting to 192.168.0.1...
Password:
sftp> put config.txt usb1/memory.txt
Uploading config.txt to /usb1/momory.txt
config.txt					100% 570     0.6KB/s   00:00
sftp>

7. SFTPサーバー機能で利用できるSFTPの対話コマンド

SFTPでパスワード認証を使用する場合は、login user コマンドで設定したパスワード、もしくは管理者パスワードでログインすることができます。
SFTP接続する際に使用したパスワードによってユーザーが使用できるSFTPの対話コマンドが異なります。

SFTPで公開鍵認証を使用する場合は、authorized_keysファイルにユーザーの公開鍵を登録することによりログインすることができます。
user attribute コマンドの administrator 属性によって使用できるSFTPの対話コマンドが異なります。

• パスワード認証を使用している場合、login user コマンドで指定したパスワードでログインした場合に使用できるSFTPの対話コマンド
• 公開鍵認証を使用している場合、user attribute コマンドで administrator 属性が off のユーザーがログインした場合に使用できるSFTPの対話コマンド

コマンド名	説明
ls [-l] [-al] ※1	ファイルとディレクトリの一覧を表示する
cd	ディレクトリを移動する ※移動先のディレクトリを省略することはできません
pwd	カレントディレクトリを絶対パスで表示する
quit, bye, exit	sftpを終了する



• パスワード認証を使用している場合、管理者パスワードでログインした場合に使用できるSFTPの対話コマンド
• 公開鍵認証を使用している場合、user attribute コマンドで administrator 属性が以下のユーザーがログインした場合に使用できるSFTPの対話コマンド
• administrator = 2 または 1(RTX840、RTX3510、RTX1300)
• administrator = on(上記以外)

コマンド名	説明
put	指定したファイルに書き込む
get	指定したファイルを読み出す
ls [-l] [-al] ※1	ファイルとディレクトリの一覧を表示する
cd	ディレクトリを移動する ※移動先のディレクトリを省略することはできません
pwd	カレントディレクトリを絶対パスで表示する
rm	指定したファイルを削除する
rename	指定したファイルのファイル名を変更する ※ファイルを移動することはできません
mkdir	指定したディレクトリを作成する
rmdir	指定したディレクトリを削除する ※空のディレクトリ以外は削除できません
quit, bye, exit	sftpを終了する

※1：
ルーターには、UNIXのようなファイルの属性がないため、ls -l コマンドや ls -al コマンドで表示されるファイルの属性のうち、パーミッションやユーザーID、グループIDの値は意味を持ちません。 SFTPクライアントによっては、ファイル名が"."で始まるような隠しファイルが ls コマンドで表示されないことがあります。ls -alコマンドを使うことで表示させることができます。

コマンド

SYSLOGメッセージ一覧

本機能において出力されるSYSLOGメッセージを以下に示します。

• 実際に出力されるメッセージには "[SFTPD]" というプレフィックスが付加されます。
• ファイル名やディレクトリ名は、絶対パスで出力されます。
• Get/Putのログは、管理ユーザーが設定ファイルの読み出しや書き込みを行った場合や、ファームウェアの書き込みを行った場合のみ出力されます。

関連文書

• TELNET複数セッション、SSHサーバー機能
• RTFS
• 外部メモリの利用
• ヤマハ仮想ルーター ファイルシステム