U-57: ftpusers 파일 설정
분류: 01_unix
중요도: 중
개요
점검 내용
FTP 서비스에 root 계정 접근 제한 설정 여부 점검
점검 목적
root 계정의 FTP 직접 접속을 제한하여 root 비밀번호 정보 노출을 방지하기 위함
보안 위협
FTP 서비스에 root 계정으로 접근할 경우, 데이터가 평문으로 전송되어 비인가자가 스니핑을 통해 관리자 계정 및 중요 정보를 외부로 유출할 위험이 존재함
참고
참고
기반시설 시스템에서 FTP 서비스의 이용은 원칙적으로 금지하나, 불가피하게 사용 시 root 계정 접근 제한 등의 보안 조치를 반드시 적용해야 함
점검 대상 및 판단 기준
대상
SOLARIS, LINUX, AIX, HP-UX 등
판단 기준
✅ 양호: root 계정 접속을 차단한 경우
❌ 취약: root 계정 접속을 허용한 경우
조치 방법
- FTP 서비스를 사용하지 않는 경우 서비스 중지 및 비활성화 설정
- FTP 서비스 사용 시 root 계정으로 직접 접속할 수 없도록 설정
조치 시 영향
애플리케이션에서 root 계정으로 직접 접속하여 FTP를 사용하고 있는 경우 확인 필요
점검 및 조치 사례
SOLARIS, LINUX, AIX, HP-UX
기본 FTP – ftpusers
-
root 계정 접근 제한 설정 확인
-
/etc(/ftpd)/ftpusers파일의 설정값 변경(#root 주석 제거)
vsFTP – ftpusers
-
userlist_enable 설정 확인
*# cat /etc/vsftpd.conf | grep userlist_enable 또는 # cat /etc/vsftpd/vsftpd.conf | grep userlist_enableuserlist_enable = NO -
root 계정 접근제한 설정 확인
-
/etc/vsftpd.ftpusers또는/etc/vsftpd/ftpusers파일의 설정값 변경(#root 주석 제거)
vsFTP – user_list
-
userlist_enable 설정 확인
*# cat /etc/vsftpd.conf | grep userlist_enable 또는 # cat /etc/vsftpd/vsftpd.conf | grep userlist_enableuserlist_enable = YES -
root 계정 접근제한 설정 확인
-
/etc/vsftpd.user_list또는/etc/vsftpd/user_list파일의 설정값 변경(#root 주석 제거)
참고
vsftpd.conf 파일에서 user_list deny 옵션이 yes로 설정된 경우에만 root 계정 차단이 적용됨
ProFTP – ftpusers
-
UseFtpUsers 설정 확인
*UseFtpUsers on(기본 설정 : on) -
root 계정 접근제한 설정 확인
-
/etc(/ftpd)/ftpusers파일의 설정값 변경(#root 주석 제거)
ProFTP – proftpd.conf
-
UseFtpUsers 설정 확인
*UseFtpUsers off -
root 계정 접근제한 설정 확인
-
/etc(/proftpd)/proftpd.conf파일의 설정값 변경 -
ProFTP 서비스 재시작