SRV-011 시스템 관리자 계정의 FTP 사용 제한 미비

SRV-011 시스템 관리자 계정의 FTP 사용 제한 미비

【 상세설명 】
FTP 서비스는 단독으로 사용 시 네트워크에서 계정과 패스워드가 암호화되지 않으므로, 중요한 시스템 관리자 계정들을 보호하기 위해 해당 계정들의 FTP 접속을 ftpusers 파일을 활용하여 제한하고 있는지 점검

【 판단기준 】
- 양호 : ftpusers 파일이 존재하고, ftpusers 파일 안에 시스템 계정(root)이 존재할 경우
- 취약 : ftpusers 파일이 없거나, ftpusers 파일 안에 시스템 계정 미존재 혹은 주석처리 되어 있을 경우

【 판단방법 】
1. 시스템 관리자 계정 FTP 접속 제한 설정 확인
    ※ ftpusers 파일 내 계정명 존재 시 해당 계정명 FTP 접속 제한 설정 적용(시스템 관리자 계정이 주석 처리되어 있거나 없는 경우 "취약")
    ※ RHEL 계열은 PAM 모듈 설정에 따라 차단/허용 설정 적용("sense=deny" : ftpusers 파일 내 계정만 서비스 차단 설정, "sense=allow" : ftpusers 파일 내 계정만 서비스 허용 설정)

  ■ Linux, AIX, HP-UX, SOLARIS
    [ ftp ] : 시스템 관리자 계정 FTP 접속 제한 설정 확인
    # cat /etc/ftpusers | grep root
    # cat /etc/ftpd/ftpusers | grep root
        root

    [ proftp ] : 시스템 관리자 계정 FTP 접속 제한 설정 및 "RootLogin off" 설정 확인
    # cat /etc/ftpusers | grep root
    # cat /etc/ftpd/ftpusers | grep root
        root
    # cat /etc/proftpd.conf | grep RootLogin
    # cat /etc/proftpd/proftpd.conf | grep RootLogin
    # cat /etc/proftpd/conf/proftpd.conf | grep RootLogin
    # cat /usr/local/etc/proftpd.conf | grep RootLogin
    # cat /usr/local/proftpd/etc/proftpd.conf | grep RootLogin
        RootLogin on

    ※ RootLogin 설정이 없으면 default 값(RootLogin off) 적용

    [ vsftp ] : 시스템 관리자 계정 FTP 접속 제한 설정 또는 "userlist_enable=YES" 및 "user_list" 설정 확인
    # cat /etc/ftpusers | grep root
    # cat /etc/vsftpd.ftpusers | grep root
    # cat /etc/vsftpd/ftpusers | grep root
    # cat /etc/vsftpd/conf/ftpusers | grep root
        root
    # cat /etc/vsftpd.conf | grep userlist
    # cat /etc/vsftpd/vsftpd.conf | grep userlist
    # cat /etc/vsftpd/conf/vsftpd.conf | grep userlist
        userlist_enable=YES
    # cat /etc/user_list | grep root
    # cat /etc/vsftpd.user_list | grep root
    # cat /etc/vsftpd/user_list | grep root
    # cat /etc/vsftpd/conf/user_list | grep root
        root

  ■ RHEL 6, 7, 8, 9
    [ ftp ] : 시스템 관리자 계정 FTP 접속 제한 설정 확인
    # cat /etc/ftpusers | grep root
        root

    [ proftp ] : PAM 모듈 정책 확인 후 proftp 서비스 설정 확인
    # cat /etc/pam.d/proftpd | grep auth | egrep "pam_listfile.so|sense=deny"
        auth       required     pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
    # cat /etc/ftpusers | grep root
        #root
    # cat /etc/proftpd.conf | grep RootLogin
        RootLogin on

    ※ RootLogin 설정이 없으면 default 값(RootLogin off) 적용

    [ vsftp ] : PAM 모듈 정책 확인 후 vsftp 서비스 설정 확인
    # cat /etc/pam.d/vsftpd | grep auth | egrep "pam_listfile.so|sense=deny"
        auth       required     pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
    # cat /etc/vsftpd/ftpusers | grep root
        root
    # cat /etc/vsftpd/vsftpd.conf | grep userlist
        userlist_enable=YES
    # cat /etc/vsftpd/user_list | grep root
        root

    ■ 참고 : vsftp 서비스에서 user_list 파일을 사용하는 경우
        - ftpusers 을 통해 ftp 서비스가 차단된 계정은 user_list 파일에서 ftp 서비스 허용 설정 적용 불가
        - vsftpd.conf 설정 파일에 "userlist_enable=YES" 이 설정해야 user_list 파일 사용 가능
        - "userlist_deny" 설정은 문구 없을 시 Default 값 "Yes" 설정 적용(user_list 파일 내 계정 ftp 서비스 제한 설정)
        - "sense=deny", "userlist_enable=NO" 설정 시 : ftpusers 파일 내 계정 ftp 서비스 차단
        - "sense=deny", "userlist_enable=YES", "userlist_deny=NO" 설정 시 : ftpusers 파일 내 계정 ftp 서비스 차단, user_list 파일 내 계정 ftp 서비스 허용
        - "sense=deny", "userlist_enable=YES", "userlist_deny=Yes" 설정 시: ftpusers 파일 내 계정 ftp 서비스 차단, user_list 파일 내 계정 ftp 서비스 제한

【 조치방법 】
1. 시스템 관리자 계정 FTP 접속 제한 설정

2024-01-13 : (조치과정 삭제)