[리눅스 보안] 서버 보안 - Ftpusers 파일 설정

[리눅스 보안] 서버 보안 - Ftpusers 파일 설정

■ 대상 OS : SunOS, Linux, AIX, HP-UX

■ 취약점 개요

    - FTP 서비스는 아이디 및 패스워드가 암호화되지 않은 채로 전송되어 간단한 스니퍼에 의해서도 아이디 및 패스워드가 노출될 수 있으므로 반드시 필요한 경우를 제외하고는 FTP 서비스 사용을 제한하여야 함.

    - 불가피하게 FTP 서비스를 사용하여야 하는 경우 root 계정의 직접 접속을 제한하여 root 계정의 패스워드 정보가 노출되지 않도록 함.

■ 보안대책

    - 양호 : FTP 서비스가 비활성화 되어 있거나, 활성화 시 root 계정 접속을 허용한 경우

    - 취약 : FTP 서비스가 활성화 되어 있고, root 계정 접속을 허용한 경우

■ 조치방법

    - FTP 접속 시 root 계정으로 직접 접속 할 수 없도록 설정파일 수정

      (접속 차단 계정을 등록하는 ftpusers 파일에 root 계정 추가)

■ 보안설장 방법

    ◆ FTP 종류별 점검 방법

        - SunOS, Linux, AIX, HP-UX

          ▶ 아래 파일에서 ftp에 대한 root 계정으로의 접속 가능 여부 확인

              #cat /etc/ftpusers

              #cat /etc/ftpd/ftpusers

              #root (주석처리) 또는, root 계정 미등록

          ▶ ProFTP

              #cat /etc/proftpd.con

              RootLogin on

          ▶ vsFTP

              #cat /etc/vsftp/ftpusers

              #cat /etc/vsftpd.ftpusers

              #root (주석처리) 또는, root 계정 미등록

    ※ root 계정으로 FTP 접속이 가능하도록 위와 같이 설정된 경우 아래의 보안설정 방법에 따라 설정을 변경

■ SunOS, Linux, AIX, HP-UX

    <일반 FTP 서비스 root 계정 접속 제한 방법>

      1. vi 편집기를 이용하여 ftpusers 파일을 연 후 ("/etc/ftpusers" 또는, "/etc/ftpd/ftpusers")

         #vi /etc/ftpusers 또는, /etc/ftpd/ftpusers

      2. ftpusers 파일에 root 계정 추가 또는, 주석제거

         (수정 전) #root 또는, root 계정 미등록

         (수정 후)   root

    <ProFTP 서비스 중지 방법>

     1. vi 편집기를 이용하여 proftpd 설정파일("/etc/proftpd.conf")을 연 후

         #vi /etc/proftpd.conf

      2. proftpd 설정파일 ("/etc/proftpd.conf")에서 RootLogin off 설정

         (수정 전) RootLogin on

         (수정 후) RootLogin off

    <vsFTP 서비스 중지 방법>

      1. vi 편집기를 이용하여 ftpusers 파일을 연 후 ("/etc/vsftp/ftpusers" 또는, "/etc/vsftpd.ftpusers")

         #vi /etc/vsftp/ftpusers

      2. ftpusers 파일에 root 계정 추가 또는, 주석제거

         (수정 전) #root 또는, root 계정 미등록

         (수정 후)   root

※ vsFTP를 사용할 경우 FTP 접근제어 파일

   1. vsftpd.conf 파일에서 userlist_enable=YES인 경우 : vsftpd.ftpusers, vsftpd.userlist

      (ftpusers, user_list 파일에 등록된 모든 계정의 접속이 차단됨)

   2. vsftpd.conf 파일에서 userlist_enable=NO 또는, 옵션 설정이 없는 경우 : vsftpd.ftpusers

      (ftpusers 파일에 등록된 계정들만 접속이 차단됨)

■ 조치 시 영향

    - 애플리케이션에서 root로 바로 접속하여 FTP를 사용하고 있을 경우 확인 필요

※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853

문의 사항 남기기