ประเด็น
จากการตรวจสอบโปรโตคอลสำหรับการให้บริการ (Services) ของระบบปฏิบัติการ “AIX” พบว่ามีการเปิดใช้งานโปรโตคอล “FTP” ซึ่งมีวัตถุประสงค์สำหรับการโอนย้ายข้อมูลไฟล์ในระดับ “Application”
อย่างไรก็ตามเมื่อตรวจสอบค่าปรับแต่งสำหรับเครื่องให้บริการ (/etc/ftpusers) พบว่า ไม่มีชื่อบัญชีผู้ใช้ใดๆ ถูกบันทึกลงในไฟล์ดังกล่าว ซึ่งส่งผลให้ทุกบัญชีผู้ใช้ที่มีอยู่ในเครื่องให้บริการดังกล่าวสามารถใช้งาน “FTP”
ผลกระทบ
การใช้งานโปรโตคอล “FTP” ยังมีความไม่ปลอดภัยเนื่องจากการส่งข้อมูลไม่ถูกเข้ารหัส (Unencrypted data) ซึ่งอาจมีความเสี่ยงในเรื่องของเปิดเผยข้อมูลสำคัญเช่น รหัสผ่าน เป็นต้น นำไปส่งการเปลี่ยนแปลงแก้ไขข้อมูลในระบบโดยไม่ได้รับอนุญาตได้
ข้อแนะนำ
- ตรวจสอบความจำเป็นของการใช้งานการให้บริการ “FTP” และเปลี่ยนให้ใช้โปรโตคอล “SFTP” แทนเพื่อความปลอดภัยในการส่งผ่านข้อมูลในช่องทางเข้ารหัส
- ถ้าจำเป็นต้องใช้งาน “FTP” ให้ตรวจสอบสิทธิและระงับการใช้งานบัญชีผู้ใช้ที่ไม่มีความจำเป็นต้องใช้
ขั้นตอนการตรวจสอบ
วัตถุประสงค์การตรวจสอบ
- ไม่อนุญาตให้ใช้งาน “FTP” ให้ใช้บริการ “SFTP”
- ถ้าจำเป็นต้องจำกัดสิทธิการเข้าใช้งาน “FTP” เฉพาะบัญชีผู้ใช้ที่ได้รับอนุญาตเท่านั้น
ขั้นตอน
- ตรวจสอบ “Service” ที่เปิดให้ใช้งานอยู่บน “AIX” โดยใช้คำสั่ง
/usr/bin/lssrc -s tlmagent
- ตรวจสอบมีการเปิดใช้งาน “FTP” หรือไม่
- ถ้าไม่มีไม่เป็นประเด็น
- ถ้ามีให้สอบถามกับเจ้าหน้าที่ดูแลระบบถึงวัตถุประสงค์ประสงค์ (เพื่อให้ทราบถึงบัญชีผู้ใช้ใดสามารถใช้งาน “FTP” ได้) และความเป็นไปได้ในการใช้งาน “SFTP” ทดแทน
- ถ้ามีการใช้งาน “FTP” ให้ตรวจสอบการระงับใช้งานบัญชีผู้ใช้ใน ไฟล์ “/etc/ftpusers”
- ถ้าไม่มีบัญชีรายชื่อใดเลยถือเป็นประเด็นเพราะอย่างน้อยที่สุด บัญชีผู้ใช้ “root” ไม่ควรนำมาใช้ในงาน “day-to-day operation” อย่างการทำสำเนา “online”
- นอกจากนี้บัญชีผู้ใช้อื่น ๆ เช่น “Guest”, บัญชีผู้ใช้ที่ไม่ได้เกี่ยวข้องกับ “application” หรือระบบ