Allowing FTP (File Transfer Protocol) to All User Accounts

ประเด็น

จากการตรวจสอบโปรโตคอลสำหรับการให้บริการ (Services) ของระบบปฏิบัติการ “AIX” พบว่ามีการเปิดใช้งานโปรโตคอล “FTP” ซึ่งมีวัตถุประสงค์สำหรับการโอนย้ายข้อมูลไฟล์ในระดับ “Application”

อย่างไรก็ตามเมื่อตรวจสอบค่าปรับแต่งสำหรับเครื่องให้บริการ (/etc/ftpusers) พบว่า ไม่มีชื่อบัญชีผู้ใช้ใดๆ ถูกบันทึกลงในไฟล์ดังกล่าว ซึ่งส่งผลให้ทุกบัญชีผู้ใช้ที่มีอยู่ในเครื่องให้บริการดังกล่าวสามารถใช้งาน “FTP”

ผลกระทบ

การใช้งานโปรโตคอล “FTP” ยังมีความไม่ปลอดภัยเนื่องจากการส่งข้อมูลไม่ถูกเข้ารหัส (Unencrypted data) ซึ่งอาจมีความเสี่ยงในเรื่องของเปิดเผยข้อมูลสำคัญเช่น รหัสผ่าน เป็นต้น นำไปส่งการเปลี่ยนแปลงแก้ไขข้อมูลในระบบโดยไม่ได้รับอนุญาตได้

ข้อแนะนำ

  1.  ตรวจสอบความจำเป็นของการใช้งานการให้บริการ “FTP” และเปลี่ยนให้ใช้โปรโตคอล “SFTP” แทนเพื่อความปลอดภัยในการส่งผ่านข้อมูลในช่องทางเข้ารหัส
  2. ถ้าจำเป็นต้องใช้งาน “FTP” ให้ตรวจสอบสิทธิและระงับการใช้งานบัญชีผู้ใช้ที่ไม่มีความจำเป็นต้องใช้

 

ขั้นตอนการตรวจสอบ

วัตถุประสงค์การตรวจสอบ

  • ไม่อนุญาตให้ใช้งาน “FTP” ให้ใช้บริการ “SFTP”
  • ถ้าจำเป็นต้องจำกัดสิทธิการเข้าใช้งาน “FTP” เฉพาะบัญชีผู้ใช้ที่ได้รับอนุญาตเท่านั้น

ขั้นตอน

  1.  ตรวจสอบ “Service” ที่เปิดให้ใช้งานอยู่บน “AIX” โดยใช้คำสั่ง
    /usr/bin/lssrc -s tlmagent
    
  2. ตรวจสอบมีการเปิดใช้งาน “FTP” หรือไม่
    • ถ้าไม่มีไม่เป็นประเด็น
    • ถ้ามีให้สอบถามกับเจ้าหน้าที่ดูแลระบบถึงวัตถุประสงค์ประสงค์ (เพื่อให้ทราบถึงบัญชีผู้ใช้ใดสามารถใช้งาน “FTP” ได้)  และความเป็นไปได้ในการใช้งาน “SFTP” ทดแทน
  3. ถ้ามีการใช้งาน “FTP” ให้ตรวจสอบการระงับใช้งานบัญชีผู้ใช้ใน ไฟล์ “/etc/ftpusers”
    • ถ้าไม่มีบัญชีรายชื่อใดเลยถือเป็นประเด็นเพราะอย่างน้อยที่สุด บัญชีผู้ใช้ “root” ไม่ควรนำมาใช้ในงาน “day-to-day operation” อย่างการทำสำเนา “online”
    • นอกจากนี้บัญชีผู้ใช้อื่น ๆ เช่น “Guest”, บัญชีผู้ใช้ที่ไม่ได้เกี่ยวข้องกับ “application” หรือระบบ

ใส่ความเห็น