[펌] FTP 서버 보안, 이것만은 꼭 챙깁시다.

인터넷에 연결하여 서비스를 하는 서버라면, 웹 서비스와 더불어 FTP 서비스를 반드시 사용하게 됩니다.

FTP 서버를 운영할 때, 설정 파일에서 세심하게 신경을 쓰지 않으면 심각한 상황이 발생할 수도 있습니다.

리눅스 계열에서 가장 많이 쓰는 FTP 데몬은 vsftp 입니다.

보통은 배포판을 설치하면 기본으로 자동 설치가 됩니다.

설정 파일은 /etc/vsftpd/vsftpd.conf 입니다.

루트로 로그인한 후, 이 파일을 vi 에디터 등으로 열고 아래의 사항들을 체크해 주시면 됩니다.

1. 익명 FTP 서비스 금지 설정

익명 FTP 서비스는 특별한 경우가 아니면 사용하지 않는 것이 좋습니다.

이 서비스를 금지하려면 아래와 같이 설정합니다.

# Allow anonymous FTP? (Beware - allowed by default if you comment this out).
anonymous_enable=NO

2. 로그인 시의 FTP 데몬 정보 숨기기

FTP 서비스에 접속할 때, 기본값으로 운영하게 될 경우 아래처럼 서버에 설치된 FTP 데몬의 종류와 버전이 나타나게 됩니다.

220 (vsFTPd 2.0.1)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (localhost:ftp):

취약점이 존재하는 버전의 FTP 데몬을 사용할 경우, 크래커의 공격 목표가 될 수 있습니다.

이 정보를 숨기려면 다음과 같이 설정합니다.

# You may fully customise the login banner string:
ftpd_banner=Welcome to my FTP service.

기본적으로 ftpd_banner 옵션은 주석 처리가 되어 있으므로, 주석을 해제하고 각자에 알맞는 배너 코멘트를 입력합니다.

설정을 변경한 후, ftp 데몬을 reload & restart 해 주어야 변경된 설정이 반영됩니다.

변경된 설정이 반영된 후의 FTP 접속 화면은 다음과 같이 표시됩니다.

220 Welcome to my FTP service.
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (localhost:ftp):

3. 상위 디렉토리 접근 막기

일반적인 웹 호스팅의 경우, /home/사용자계정 의 형식으로 디렉토리가 할당됩니다.

FTP 서버에서 사용자가 자신의 홈 디렉토리보다 상위의 디렉토리로 접근할 수 있게 되면 보안상 매우 위험합니다.

보안 설정이 제대로 되어 있지 않을 경우 아래와 같이 표시됩니다.

Connected to ftp.
220 Welcome to my FTP service.
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (localhost:ftp): ftp
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pwd
257 "/home/ftp" --> 상위 디렉토리로 이동이 가능.
ftp> cd /     --> 시스템의 최상위 디렉토리인 / 디렉토리로 이동 및 열람이 가능
250 Directory successfully changed.
ftp> ls -al
227 Entering Passive Mode (127,0,0,1,141,3)
150 Here comes the directory listing.
drwxr-xr-x   33 0        0            4096 Sep 16 12:47 .
drwxr-xr-x   33 0        0            4096 Sep 16 12:47 ..
-rw-r--r--    1 0        0               0 Sep 02 09:02 .autofsck
drwx------   24 501      501          4096 Sep 02 09:02 MySQL
drwxr-xr-x    2 0        0            4096 Nov 25  2006 backup
drwxr-xr-x    2 0        0            4096 Dec 28  2004 bin
drwxr-xr-x    4 0        0            1024 Dec 28  2004 boot
drwxr-xr-x   10 0        0            4780 Sep 02 09:02 dev
drwxr-xr-x   69 0        0            4096 Nov 24 19:02 etc
drwxr-xr-x   11 0        0            4096 Sep 02 04:41 home
drwxr-xr-x    2 0        0            4096 Aug 12  2004 initrd
drwxr-xr-x   11 0        0            4096 Dec 28  2004 lib
drwx------    2 0        0           16384 Dec 28  2004 lost+found
drwxr-xr-x    2 0        0            4096 Nov 23  2006 media
drwxr-xr-x    2 0        0            4096 Oct 16  2004 misc
drwxr-xr-x    2 0        0            4096 Aug 12  2004 mnt
drwxr-xr-x    2 0        0            4096 Aug 12  2004 opt
dr-xr-xr-x  125 0        0               0 Sep 02 18:02 proc
drwxr-x---    5 0        0            4096 Nov 25 04:53 root
drwxr-xr-x    2 0        0           12288 Dec 28  2004 sbin
drwxr-xr-x    1 0        0               0 Sep 02 18:02 selinux
drwxr-xr-x    2 0        0            4096 Aug 12  2004 srv
drwxr-xr-x    9 0        0               0 Sep 02 18:02 sys
drwxrwxrwt    4 0        0          155648 Nov 25 04:38 tmp
drwxr-xr-x   14 0        0            4096 Dec 28  2004 usr
drwxr-xr-x   21 0        0            4096 Sep 02 09:14 var
226 Directory send OK.
ftp>

이런 식으로 일반유저가 시스템 디렉토리의 내용을 마음대로 접근할 수가 있게 되는데,

이를 막으려면 vsftpd.conf 파일을 열고 아래와 같이 설정합니다.

chroot_local_user=YES

이 chroot_local_user 항목은 데비안의 경우에는 기본적으로 YES로 설정이 되어 있지만

레드햇 계열의 배포판에서는 이 옵션이 아예 없으므로 타이핑을 해 넣어야 합니다.

설정을 수정한 후, FTP 에 접속하면 다음과 같이 표시됩니다.

230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pwd
257 "/"  --> 자신의 홈 디렉토리를 최상위 루트 디렉토리로 표시함
ftp> ls -al
227 Entering Passive Mode (127,0,0,1,218,119)
150 Here comes the directory listing.
drwx--x--x   11 500      500          4096 Sep 07 12:11 .
drwx--x--x   11 500      500          4096 Sep 07 12:11 ..
-rw-------    1 500      500          7556 Nov 25 02:48 .bash_history
-rw-r--r--    1 500      500            24 Dec 28  2004 .bash_logout
-rw-r--r--    1 500      500           212 Jan 28  2005 .bash_profile
-rw-r--r--    1 500      500           124 Dec 28  2004 .bashrc
-rw-r--r--    1 500      500           383 Dec 28  2004 .emacs
-rw-r--r--    1 500      500           120 Dec 28  2004 .gtkrc
-rw-------    1 500      500        428688 Feb 21  2006 .mysql_history
drwx------    2 500      500          4096 Jul 26 00:53 .ssh
-rw-------    1 500      500          4310 Jun 12 06:10 .viminfo
-rw-------    1 500      500          6080 Jul 06 09:59 public_html

226 Directory send OK.
ftp> cd /
250 Directory successfully changed.
ftp> ls -al
227 Entering Passive Mode (127,0,0,1,106,70)
150 Here comes the directory listing.

drwx--x--x   11 500      500          4096 Sep 07 12:11 .
drwx--x--x   11 500      500          4096 Sep 07 12:11 ..
-rw-------    1 500      500          7556 Nov 25 02:48 .bash_history
-rw-r--r--    1 500      500            24 Dec 28  2004 .bash_logout
-rw-r--r--    1 500      500           212 Jan 28  2005 .bash_profile
-rw-r--r--    1 500      500           124 Dec 28  2004 .bashrc
-rw-r--r--    1 500      500           383 Dec 28  2004 .emacs
-rw-r--r--    1 500      500           120 Dec 28  2004 .gtkrc
-rw-------    1 500      500        428688 Feb 21  2006 .mysql_history
drwx------    2 500      500          4096 Jul 26 00:53 .ssh
-rw-------    1 500      500          4310 Jun 12 06:10 .viminfo
-rw-------    1 500      500          6080 Jul 06 09:59 public_html

이처럼, chroot_local_user 항목을 YES 로 설정해 놓으면

사용자가 자기 홈디렉토리보다 상위인 디렉토리 자체를 아예 볼 수가 없습니다.

보안은 거창한 것이 아닙니다.

사소해 보이는 것들만 제대로 막아도 상당 부분 보안을 유지할 수 있습니다.