[리눅스 보안] 서버 보안 - FTP 계정 shell 제한
■ 대상 OS : SunOS, Linux, AIX, HP-UX
■ 취약점 개요
- FTP 서비스 설치 시 기본으로 생성되는 ftp 계정은 로그인이 필요하지 않은 기본 계정으로 쉘을 제한하여 해당 계정으로의 시스템 접근을 차단하여야 함. 로그인이 불필요한 기본 계정에 *쉘(Shell)을 부여할 경우 공격자에게 해당 계정이 노출되어 시스템 불법 침투가 발생할 수 있음.
*쉘(Shell) : 대화형 사용자 인터페이스로써, 운영체제(OS) 가장 외곽계층에 존재하여 사용자의 명령어를 이해하고 실행함.
■ 보안대책
- 양호 : ftp 계정에 /bin/false 쉘이 부여되어 있는 경우
- 취약 : ftp 계정에 /bin/false 쉘이 부여되지 않은 경우
■ 조치방법
- ftp 계정에 /bin/false 쉘 부여
■ 보안설정 방법
◆ OS별 점검 파일 위치 및 점검 방법
- SunOS, Linux, AIX, HP-UX
ftp 계정에 대한 /bin/false 부여 확인
#cat /etc/passwd
ftp:x:500:100:Anonymous FTP USER:/var/ftp:/sbin/bash
※ "passwd" 파일 내 로그인 쉘 설정이 "/bin/false"가 아닌 경우 아래의 보안설정 방법에 따라 설정을 변경
■ SunOS, Linux, AIX, HP-UX
1. vi 편집기를 이용하여 "/etc/passwd" 파일을 연 후
2. ftp 계정의 로그인 쉘 부분인 계정 맨 마지막에 /bin/false 부여 및 변경
(수정 전) ftp:x:500:100:Anonymous FTP USER:/var/ftp:/sbin/bash
(수정 후) ftp:x:500:100:Anonymous FTP USER:/var/ftp:/bin/false
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Infra > 리눅스 서버' 카테고리의 다른 글
| [리눅스 보안] 서버 보안 - Ftpusers 파일 설정 (0) | 2017.03.25 |
|---|---|
| [리눅스 보안] 서버 관리 - ftpusers 파일 소유자 및 권한 설정 (0) | 2017.03.24 |
| [리눅스 보안] 서버 관리 - ftp 서비스 확인 (0) | 2017.03.22 |
| [리눅스 보안] 서버 관리 - SSH 원격접속 허용 (0) | 2017.03.21 |
| [리눅스 보안] 서버 관리 - Apache 웹 서비스 영역의 분리 (0) | 2017.03.20 |