[리눅스/서비스 관리] Anonymous FTP 비활성화 (U-20)
- 취약점 점검/리눅스
- 2021. 2. 23.
Anonymous FTP 비활성화
취약점 개요
■ 위험도
- 상
■ 점검 목적
- 실행주인 FTP 서비스에 익명 FTP 접속이 허용되고 있는지 확인하여 접속허용을 차단하는 것을 목적으로 함
■ 보안 위협
- Anonymous FTP(익명 FTP)를 사용 시 anonymous 계정으로 로그인 후 디렉토리에 쓰기 권한이 설정되어 있다면 악의적인 사용자가 local exploit을 사용하여 시스템에 대한 공격을 가능하게 함
점검 및 조치 방법
■ 판단 기준
- 양호 : Anonymous FTP (익명 ftp) 접속을 차단한 경우
- 취약 : Anonymous FTP (익명 ftp) 접속을 차단하지 않은 경우
■ 조치 방법
Anonymous FTP를 사용하지 않는 경우 Anonymous FTP 접속 차단 설정 적용
■ SOLARIS, LINUX, AIX, HP-UX
Step 1) 일반 FTP - Anonymous FTP 접속 제한 설정 방법
"/etc/passwd" 파일에서 ftp 또는, anonymous 계정 삭제
# userdel ftp
Step 2) ProFTP - Anonymous FTP 접속 제한 설정 방법
"etc/passwd" 파일에서 ftp 계정 삭제
# userdel ftp
Step 3) vsFTP - Anonymous FTP 접속 제한 설정 방법
vsFTP 설정파일("/etc/vsftpd/vsftpd.conf" 또는, "/etc/vsftpd.conf")에서
anonymous_enable=NO 설정
■ 스크립트
echo "U-37 START"
echo "[ U-37 Anonymous FTP 비활성화 ]" >> $COMPUTERNAME 2>&1
if [ `ps -ef | grep -i "ftp" | grep -v "grep" | wc -l` -eq 0 ]
then
echo "FTP 미실행중입니다." >> $COMPUTERNAME 2>&1
else
ps -ef | grep -i "ftp" | grep -v "grep" >> $COMPUTERNAME 2>&1
fi
echo " " >> $COMPUTERNAME 2>&1
echo "[ /etc/passwd - ftp 계정 존재 확인 ] " >> $COMPUTERNAME 2>&1
cat $PASSWD | grep -i "ftp" >> $COMPUTERNAME 2>&1
echo " " >> $COMPUTERNAME 2>&1
echo "[ vsftp - anonymous_enable ] " >> $COMPUTERNAME 2>&1
cat $FTP_CONF | grep -i "anonymous" >> $COMPUTERNAME 2>&1
echo " " >> $COMPUTERNAME 2>&1
echo "U-37 END" >> $COMPUTERNAME 2>&1
echo "======================================================================================" >> $COMPUTERNAME 2>&1
echo " " >> $COMPUTERNAME 2>&1
echo " " >> $COMPUTERNAME 2>&1
■ 용어 설명 / 팁
Anonymous FTP : 파일 전송을 위해서는 원칙적으로 상대방 컴퓨터를 사용할 수 있는 계정이 필요하나 누구든지 계정 없이도 anonymous 또는 ftp라는 로그인 명과 임의의 비밀번호를 사용하여 FTP를 실행할 수 있음