[리눅스/서비스 관리] ftpusers 파일 설정(FTP 서비스 root 계정 접근제한) (U-64)

취약점 점검/리눅스
2021. 10. 31.

ftpusers 파일 설정(FTP 서비스 root 계정 접근제한)

취약점 개요

■ 위험도
- 중

■ 점검 목적
- root의 FTP 직접 접속을 방지하여 root 패스워드 정보를 노출되지 않도록 하기 위함

■ 보안 위협
- root의 FTP 직접 접속을 방지하여 root 패스워드 정보를 노출되지 않도록 하기 위함

점검 및 조치 방법

■ 판단 기준
- 양호 : FTP 서비스가 비활성화 되어 있거나, 활성화 시 root 계정 접속을 차단 한 경우
- 취약 : FTP 서비스가 비활성화 되어 있거나, 활성화 시 root 계정 접속을 차단 한 경우

■ 조치 방법
- FTP 접속 시 root 계정으로 직접 접속 할 수 없도록 설정파일 수정 (접속 차단 계정을 등록하는 ftpusers 파일에 root 계정 추가)

■ 점검 및 조치 사례

■ SOLARIS, LINUX, AIX, HP-UX

< 일반 FTP 서비스 root 계정 접속 제한 방법 >
Step 1) vi 편집기를 이용하여 ftpusers 파일 열기 (“/etc/ftpusers” 또는 “/etc/ftpd/ftpusers”)
#vi /etc/ftpusers 또는 /etc/ftpd/ftpusers
Step 2) ftpusers 파일에 root 계정 추가 또는, 주석제거
(수정 전) #root 또는, root 계정 미등록
(수정 후) root

< ProFTP 서비스 ROOT 접속 차단 >
Step 1) vi 편집기를 이용하여 proftpd 설정파일(“/etc/proftpd.conf”) 열기
#vi /etc/proftpd.conf
Step 2) proftpd 설정파일 (“/etc/proftpd.conf”)에서 RootLogin off 설정
(수정 전) RootLogin on
(수정 후) RootLogin off
Step 3) ProFTP 서비스 재시작

< vsFTP 서비스 ROOT 접속 차단 >
Step 1) vi 편집기를 이용하여 ftpusers 파일 열기 (“/etc/vsftp/ftpusers” 또는, “/etc/vsftpd.ftpus
ers”)
#vi /etc/vsftp/ftpusers
Step 2) ftpusers 파일에 root 계정 추가 또는, 주석제거
(수정 전) #root 또는, root 계정 미등록
(수정 후) root
Step 3) vsFTP 서비스 재시작

※ vsFTP를 사용할 경우 FTP 접근제어 파일
(1) vsftpd.conf 파일에서 userlist_enable=YES인 경우: vsftpd.ftpusers, vsftpd.user_list 또는 ftpusers, user_list
(ftpusers, user_list 파일에 등록된 모든 계정의 접속이 차단됨)
(2) vsftpd.conf 파일에서 userlist_enable=NO 또는, 옵션 설정이 없는 경우: vsftpd.ftpusers 또는 ftpusers
(ftpusers 파일에 등록된 계정들만 접속이 차단됨)

■ 스크립트

echo "U-64 START"
echo " [U-64 ftpusers 파일 설정] " 		>>$COMPUTERNAME 2>&1
echo " ftp에 대한 root 계정으로의 접속 가능 여부 확인 " 		>>$COMPUTERNAME 2>&1
cat /etc/ftpusers 			>>$COMPUTERNAME 2>&1
echo " ProFTP "				>>$COMPUTERNAME 2>&1
cat /etc/proftpd.conf |grep -i "RootLogin"		>>$COMPUTERNAME 2>&1
echo " vsFTP "					>>$COMPUTERNAME 2>&1
cat /etc/vsftp/ftpusers					>>$COMPUTERNAME 2>&1
echo " U-64 END "	
echo "==========================================================="	>>$COMPUTERNAME 2>&1
echo ""

■ 용어 설명 / 팁
※ 스니핑: 컴퓨터 네트워크상에 흘러 다니는 트래픽을 도청하는 행위

※ 기반시설 시스템에서 ftp 서비스의 이용은 원칙적으로 금지하나, 부득이 해당 기능을 활용 해야 하는 경우 shell 제한 등의 보안 조치를 반드시 적용하여야 함

※ 관련 점검 항목 : U-63(중), U-64(하)

저작자표시 비영리 변경금지

Pilo