본문 바로가기
정보보안

U-63) unix 서버취약점 > 서비스 관리 > ftp 파일 소유자 및 권한 설정

by PUPPLESHARK 2023. 2. 21.
반응형

 

U-63 (하) 3. 서비스관리 > ftpusers 파일 소유자 및 권한 설정
취약점 개요
점검내용 Ÿ FTP 접근제어 설정파일에 관리자 외 비인가자들이 수정 제한 여부 점검
점검목적 Ÿ 비인가자가의 ftpusers 파일 수정을 막아 비인가자들의 ftp 접속을 차단하기 위해 ftpusers 파일 소유자 및 권한을 관리해야함
보안위협 Ÿ 해당 파일에 대한 권한 관리가 이루어지지 않을 시 비인가자의 FTP 접근을 통해 ftpusers 파일에 계정을 등록하고 서버에 접속하여 침해사고가 발생할 수 있음
참고 ftpusers 파일: FTP 접근제어 설정파일로써 해당 파일에 등록된 계정은 ftp에 접속할       없음
기반시설 시스템에서 ftp 서비스의 이용은 원칙적으로 금지하나, 부득이 해당 기능을 활용해야 하는 경우 shell 제한 등의 보안 조치를 반드시 적용하여야
관련 점검 항목 : U-63(), U-65()
점검대상 및 판단기준
대상 Ÿ SOLARIS, LINUX, AIX, HP-UX
판단기준 양호 : ftpusers 파일의 소유자가 root이고, 권한이 640 이하인 경우
취약 : ftpusers 파일의 소유자가 root가 아니거나, 권한이 640 이하가 아닌 경우
조치방법 FTP 접근제어 파일의 소유자 및 권한 변경 (소유자 root, 권한 640 이하)
점검 및 조치 사례






U-63 (하) 3. 서비스관리 > ftpusers 파일 소유자 및 권한 설정
SOLARIS, LINUX, AIX, HP-UX
Step 1) "/etc/ftpusers" 파일의 소유자 및 권한 확인
  #ls -l /etc/ftpusers

Step 2) "/etc/ftpusers" 파일의 소유자 및 권한 변경 (소유자 root, 권한 640)
  #chown root /etc/ftpusers
  #chmod 640 /etc/ftpusers
 
vsFTP를 사용할 경우 FTP 접근제어 파일
(1)  vsftpd.conf 파일에서 userlist_enable=YES인 경우: vsftpd.ftpusers, vsftpd.user_list 또는
   ftpusers, user_list 파일의 소유자 및 권한 확인 변경 
(ftpusers, user_list 등록된 모든 계정의 접속이 차단됨)


(2)  vsftpd.conf 파일에서 userlist_enable=NO 또는, 옵션 설정이 없는 경우: vsftpd.ftpusers 또는 ftpusers 파일의 소유자 권한 확인 변경 (ftpusers 파일에 등록된 계정들만 접속이 차단됨)
조치 시 영향 일반적인 경우 영향 없음

 

 

 

반응형

댓글