[U-35] 공유 서비스에 대한 익명 접근 제한 설정 (중요도 : 상)

★ 주요정보통신기반시설 가이드 [U-35] 유닉스/리눅스 보안 설정

항목 중요도 : 상 (비인가 접근 및 데이터 유출 방지)

• 1. 항목 개요 및 보안 위협
• 2. [실습] 서비스별 익명 접근 제한 조치 (FTP/NFS/Samba)
• 3. 법적 근거 및 관련 지침
• 4. 오늘 공부하며 정리한 핵심 포인트

 

1. 항목 개요 및 보안 위협

출처 : 2026 주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드

[ 점검 내용 ] : FTP, NFS, Samba 등 파일 공유 서비스에서 익명 사용자가 인증 없이 시스템에 접근하거나 파일을 열람/수정할 수 있도록 설정되어 있는지 점검합니다.

[ 보안 위협 ] : 익명 접근이 허용된 경우, 공격자는 계정 정보 없이도 시스템에 접속하여 중요 데이터를 탈취하거나 서버 리소스를 무단 점유할 수 있습니다. 특히 익명 FTP나 NFS의 설정 오류는 웜·바이러스 배포지나 정보 유출의 통로가 됩니다.

 

2. [실습] 서비스별 익명 접근 제한 조치

① FTP 서비스 (Anonymous FTP 제한)

[공통] 기본 FTP 계정 제거

# cat /etc/passwd | grep -E "ftp|anonymous"
# userdel ftp (또는 rmuser ftp)
# userdel anonymous

[vsFTP] 비활성화 설정

# vi /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
# systemctl restart vsftpd

[ProFTP] 비활성화 설정

# vi /etc/proftpd/proftpd.conf
<Anonymous ~ftp> 섹션 전체를 주석 처리

② NFS 서비스 (anon 옵션 제한)

[SOLARIS, AIX, HP-UX]

# vi /etc/dfs/dfstab (또는 /etc/exports)
share -F nfs -o rw,anon=-1 /home/example
# exportfs -u
# exportfs -a

[LINUX]

# vi /etc/exports
/home/nfs-server *(rw,sync,no_subtree_check)  (anon 관련 옵션 삭제)
# exportfs -ra

③ Samba 서비스 (Guest 접근 제한)

[공통]

# vi /etc/samba/smb.conf
guest ok = no
# smbcontrol all reload-config (또는 svcadm refresh samba)

[취약 결과 예시]

NFS 설정에서 anon=0 (root 권한 매핑) 또는 anon 옵션이 설정되어 있는 경우
vsFTP 설정에서 anonymous_enable=YES 로 되어 있는 경우

[양호 결과 예시]

NFS 설정에서 anon=-1 로 명시되어 익명 접근이 거부된 경우
FTP 및 Samba 설정에서 익명 접근 허용 옵션이 'NO'로 설정된 경우

 

3. 법적 근거 및 관련 지침

⚖️ 관련 법규 정보 (국가 법령 정보 센터)

• 정보통신기반보호법 제9조(취약점 분석·평가): 공유 서비스의 권한 오설정으로 인한 기술적 보안 약점을 평가하고 개선할 의무가 있습니다.
• 정보통신기반시설 보호지침 제16조(설정관리): 서버 내 파일 공유 서비스의 인증 강화 및 접근 통제를 규정합니다.

 

4. 오늘 공부하며 정리한 핵심 포인트

• 익명 접근의 함정: '익명(Anonymous)'은 편리함을 주지만 추적성(Accountability)을 상실하게 만듭니다. 모든 시스템 접속은 개인 계정을 통한 '식별 및 인증'이 기본입니다.
• NFS anon=-1의 의미: anon 옵션값을 -1로 설정하는 것은 해당 접근에 대해 유효하지 않은 사용자 ID를 부여하여 접근 자체를 거부하겠다는 강력한 보안 설정입니다.

다음 공부 기록 예고 : [U-36] r 계열 서비스 비활성화 (중요도 : 상)