주요정보통신기반시설 유닉스(Unix) 서버 U-20 Anonymous FTP 비활성화

■ 개념

주요정보통신기반시설 취약점 분석 및 평가 중 점검대상 유닉스(Unix) 서버의 U-20 Anonymous FTP 비활성화 점검항목에 대해 알아보겠습니다. 해당 포스팅은 리눅스(CentOS 7)를 기준으로 진단 및 실습합니다.

 

항목명		Anonymous FTP 비활성화
항목코드		U-20
위험도		상
점검내용		익명 FTP 접속 허용 여부 점검
점검목적		실행중인 FTP 서비스에 익명 FTP 접속이 허용되고 있는지 확인하여 접속허용을 차단하는 것을 목적으로 함

 

 

 

보안위협		Anonymous FTP(익명 FTP)를 사용 시 anonymous 계정으로 로그인 후 디렉터리에 쓰기 권한이 설정되어 있다면 악의적인 사용자가 local exploit을 사용하여 시스템에 대한 공격을 가능하게 함 ※ Anonymous FTP(익명 FTP): 파일 전송을 위해서는 원칙적으로 상대방 컴퓨터를 사용할 수 있는 계정이 필요하나 누구든지 계정 없이도 anonymous 또는 ftp라는 로그인 명과 임의의 비밀번호를 사용하여 FTP를 실행할 수 있음
판단기준	양호	Anonymous FTP (익명 FTP) 접속을 차단한 경우
	취약	Anonymous FTP (익명 FTP) 접속을 차단하지 않은 경우
조치방법		Anonymous FTP를 사용하지 않는 경우 Anonymous FTP 접속 차단 설정 적용

 

■ 실습

해당 점검항목은 유닉스 서버의 Anonyomus FTP(익명 FTP) 제한 여부를 확인하여 양호/취약을 판단합니다. 아래 메뉴를 통해 확인하시기 바랍니다.

 

■ 확인 메뉴

• 일반 FTP의 경우 "/etc/passwd" 파일에서 ftp 또는 anonymous 계정 삭제를 합니다. 명령어: #userdel ftp
• ProFTP의 경우 "[xxx]/proftpd.conf 파일의 anonymous 관련 설정 중 User, Useralias 항목 주석처리 (proftpd.conf 파일의 위치는 운영체제 종류별로 상이함)

 

 

 

<Anonymous ~ftp>   # User ftp   Group ftp  # UserAlias anonymous ftp

<- Anonymous 설정 구간 <- anonymous로 사용되는 계정 <- 별칭으로 사용되는 계정

• vsFTP의 경우 vsFTP 설정파일(“/etc/vsftpd/vsftpd.conf” 또는, “/etc/vsftpd.conf”)에서 anonymous_enable=NO 설정합니다.

설정	설정명	설정변경(주석처리 또는 설정 중지)
anonymous_enable	익명 사용자의 접속 허가 설정	anonymous_enable=NO
anon_upload_enable	익명 사용자의 파일 업로드 허가 설정	anon_upload_enable=NO
anon_mkdir_write_enable	익명 사용자의 디렉터리 생성 허가 설정	anon_mkdir_write_enable=NO

Anonymous FTP(익명 FTP) 접속의 경우 보안에 굉장히 취약하기 때문에 어떠한 경우에도 사용해서는 안됩니다.

 

본 포스팅 내용은 한국인터넷진흥원(KISA)에서 발행한 주요정보통신기반시설 평가기준을 바탕으로 작성했습니다.

수고하셨습니다.

궁금한 사항은 댓글로 남겨주세요.