U-56: FTP 서비스 접근 제어 설정
분류: 01_unix
중요도: 하
개요
점검 내용
FTP 서비스에 비인가자의 접근 가능 여부 점검
점검 목적
접근 권한이 없는 비인가자의 접근을 통제하기 위함
보안 위협
FTP 서비스의 접근제한 설정이 적절하지 않을 경우, 인증 절차 없이 비인가자가 디렉터리나 파일에 접근할 수 있어 중요 파일 변조 및 유출을 시도할 위험이 존재함
참고
참고
기반시설 시스템에서 FTP 서비스의 이용은 원칙적으로 금지하나, 불가피하게 사용 시 접근 제어 설정 등의 보안 조치를 반드시 적용해야 함
점검 대상 및 판단 기준
대상
SOLARIS, LINUX, AIX, HP-UX 등
판단 기준
✅ 양호: 특정 IP주소 또는 호스트에서만 FTP 서버에 접속할 수 있도록 접근 제어 설정을 적용한 경우
❌ 취약: FTP 서버에 접근 제어 설정을 적용하지 않은 경우
조치 방법
- FTP 서비스를 사용하지 않는 경우 서비스 중지 및 비활성화 설정
- FTP 서비스 사용 시 접근 제어 설정
조치 시 영향
특정 IP주소 또는 호스트에서만 FTP 접속이 가능함
점검 및 조치 사례
SOLARIS, AIX, HP-UX
FTP – ftpusers
-
ftpusers 파일 소유자 및 권한 확인
# ls -l /etc/ftpusers
또는
# ls -l /etc/ftpd/ftpusers
-
접근 제한 설정 확인
# cat /etc/ftpusers
또는
# cat /etc/ftpd/ftpusers
-
파일 소유자를 root로 변경
# chown root /etc/ftpusers
또는
# chown root /etc/ftpd/ftpusers
-
파일 권한을 640으로 변경
# chmod 640 /etc/ftpusers
또는
# chmod 640 /etc/ftpd/ftpusers
-
/etc(/ftpd)/ftpusers 파일에 FTP 서비스에 접근을 차단할 사용자 설정
LINUX
vsFTP – ftpusers
-
userlist_enable 설정값 확인
# cat /etc/vsftpd.conf | grep userlist_enable
또는
# cat /etc/vsftpd/vsftpd.conf | grep userlist_enable
userlist_enable = NO 인 경우 ftpusers 파일 사용
-
파일 소유자 및 권한 확인
# ls -l /etc/vsftpd.ftpusers
또는
# ls -l /etc/vsftpd/ftpusers
-
접근 제한 설정 확인
# cat /etc/vsftpd.ftpusers
또는
# cat /etc/vsftpd/ftpusers
-
파일 소유자를 root로 변경
# chown root /etc/vsftpd.ftpusers
또는
# chown root /etc/vsftpd/ftpuser
-
파일 권한을 640으로 변경
# chmod 640 /etc/vsftpd.ftpusers
또는
# chmod 640 /etc/vsftpd/ftpusers
-
/etc/vsftpd.ftpusers 또는 /etc/vsftpd/ftpusers 파일에 FTP 서비스에 접근을 차단할 사용자 설정
vsFTP – user_list
-
userlist_enable 설정값 확인
# cat /etc/vsftpd.conf | grep userlist_enable
또는
# cat /etc/vsftpd/vsftpd.conf | grep userlist_enable
userlist_enable = YES 인 경우 user_list 파일 사용
-
파일 소유자 및 권한 확인
# ls -l /etc/vsftpd.user_list
또는
# ls -l /etc/vsftpd/user_list
-
접근 제한 설정 확인
# cat /etc/vsftpd.user_list
또는
# cat /etc/vsftpd/user_list
-
파일 소유자를 root로 변경
# chown root /etc/vsftpd.user_list
또는
# chown root /etc/vsftpd/user_list
-
파일 권한을 640으로 변경
# chmod 640 /etc/vsftpd.user_list
또는
# chmod 640 /etc/vsftpd/user_list
-
/etc(/vsftpd)/vsftpd.conf 파일의 userlist_deny 옵션 설정
- user_list에 등록된 사용자만 접속 허가:
- user_list에 등록된 사용자 접속 차단:
-
/etc(/vsftpd)/vsftpd.conf 파일에 FTP 서비스에 접근을 허가/차단할 사용자 설정
ProFTP – ftpusers
-
UseFtpUsers 설정 확인
# cat /etc/proftpd.conf | grep UseFtpUsers
또는
# cat /etc/proftpd/proftpd.conf | grep UseFtpUsers
UseFtpUsers on (기본 설정 : on)
-
파일 소유자 및 권한 확인
# ls -l /etc/ftpusers
또는
# ls -l /etc/ftpd/ftpusers
-
접근 제한 설정 확인
# cat /etc/ftpusers
또는
# cat /etc/ftpd/ftpusers
-
파일 소유자를 root로 변경
# chown root /etc/ftpusers
또는
# chown root /etc/ftpd/ftpusers
-
파일 권한을 640으로 변경
# chmod 640 /etc/ftpusers
또는
# chmod 640 /etc/ftpd/ftpusers
-
/etc/(/ftpd)ftpusers 파일에 FTP 서비스에 접근을 차단할 사용자 설정
ProFTP – proftpd.conf
-
UseFtpUsers 설정 확인
# cat /etc/proftpd.conf | grep UseFtpUsers
또는
# cat /etc/proftpd/proftpd.conf | grep UseFtpUsers
UseFtpUsers off
-
파일 소유자 및 권한 확인
# cat /etc/proftpd.conf
또는
# cat /etc/proftpd/proftpd.conf
-
접근 제한 설정 확인
# sed -n ‘/<Limit LOGIN>/, /<\/Limit>/p’ /etc/proftpd.conf
또는
# sed -n ‘/<Limit LOGIN>/, /<\/Limit>/p’ /etc/proftpd/proftpd.conf”
-
파일 소유자를 root로 변경
# chown root /etc/proftpd.conf
또는
# chown root /etc/proftpd/proftpd.conf
-
파일 권한을 640으로 변경
# chmod 640 /etc/proftpd.conf
또는
# chmod 640 /etc/proftpd/proftpd.conf
-
/etc(/proftpd)/proftpd.conf 파일 수정 및 삽입
<Limit LOGIN>
Order Deny,Allow
AllowUser <사용자 이름> 또는 Allow from <IP주소>
DenyUser <사용자 이름> 또는 Deny from <IP주소>
</Limit>
-
ProFTP 서비스 재시작