본문 바로가기
정보보안

U-64) unix 서버취약점 > 서비스 관리 > ftpusers 파일 설정(FTP 서비스 root 계정 접근제한)

by PUPPLESHARK 2023. 2. 22.
반응형

 

U-64 (중) 3. 서비스관리 > ftpusers 파일 설정(FTP 서비스 root 계정 접근제한)
취약점 개요
점검내용 Ÿ FTP 서비스를 사용할 경우 ftpusers 파일 root 계정이 포함 여부 점검
점검목적 Ÿ rootFTP 직접 접속을 방지하여 root 패스워드 정보가 노출되지 않도록 하기 위함
보안위협 Ÿ FTP 서비스는 아이디 및 패스워드가 암호화되지 않은 채로 전송되어 스니핑에 의해서 관리자 계정의 아이디 패스워드가 노출될 있음
참고 스니핑: 컴퓨터 네트워크상에 흘러 다니는 트래픽을 도청하는 행위
기반시설 시스템에서 ftp 서비스의 이용은 원칙적으로 금지하나, 부득이 해당 기능을 활용해야 하는 경우 shell 제한 등의 보안 조치를 반드시 적용하여야
관련 점검 항목 : U-63(), U-64()
점검대상 및 판단기준
대상 Ÿ SOLARIS, LINUX, AIX, HP-UX
판단기준 양호 : FTP 서비스가 비활성화 되어 있거나, 활성화 root 계정 접속을 차단한 경우
취약 : FTP 서비스가 활성화 되어 있고, root 계정 접속을 허용한 경우
조치방법 FTP 접속 시 root 계정으로 직접 접속할 수 없도록 설정파일 수정 (접속 차단 계정을 등록하는 ftpusers 파일에 root 계정 추가)
점검 및 조치 사례


U-64 (중) 3. 서비스관리 > ftpusers 파일 설정(FTP 서비스 root 계정 접근제한)
SOLARIS, LINUX, AIX, HP-UX
< 일반 FTP 서비스 root 계정 접속 제한 방법 >

Step 1) vi 편집기를 이용하여 ftpusers 파일 열기 ("/etc/ftpusers" 또는 "/etc/ftpd/ftpusers")
  #vi /etc/ftpusers 또는 /etc/ftpd/ftpusers

Step 2) ftpusers
파일에 root 계정 추가 또는, 주석제거 (수정 전) #root 또는, root 계정 미등록 (수정 후) root



< ProFTP
서비스 ROOT 접속 차단 >

Step 1) vi 편집기를 이용하여 proftpd 설정파일("/etc/proftpd.conf") 열기
  #vi /etc/proftpd.conf

Step 2) proftpd 설정파일 ("/etc/proftpd.conf")에서 RootLogin off 설정

  (수정 전) RootLogin on (수정 후) RootLogin off

Step 3) ProFTP
서비스 재시작

 


< vsFTP
서비스 ROOT 접속 차단 >

Step 1) vi 편집기를 이용하여 ftpusers 파일 열기 ("/etc/vsftp/ftpusers" 또는, "/etc/vsftpd.ftpus ers")
  #vi /etc/vsftp/ftpusers

Step 2) ftpusers 파일에 root 계정 추가 또는, 주석제거
  (수정 전) #root 또는, root 계정 미등록
  (수정 후) root

Step 3) vsFTP 서비스 재시작
 


vsFTP
를 사용할 경우 FTP 접근제어 파일


(1)   
vsftpd.conf 파일에서 userlist_enable=YES인 경우: vsftpd.ftpusers, vsftpd.user_list 또는 ftpusers, user_list

(ftpusers, user_list 파일에 등록된 모든 계정의 접속이 차단됨)

(2)  
vsftpd.conf 파일에서 userlist_enable=NO 또는, 옵션 설정이 없는 경우: vsftpd.ftpusers  또는 ftpusers

(ftpusers 파일에 등록된 계정들만 접속이 차단됨)
조치 시 영향 애플리케이션에서 root로 바로 접속하여 ftp를 사용하고 있을 경우 확인 필요

 


반응형

댓글