home *** CD-ROM | disk | FTP | other *** search

---

/ Chaos Computer Club 1997 February / cccd_beta_feb_97.iso / contrib / cert / ca9310

< prev

next >

Wrap

PGP Signed Message  |  1997-02-28  |  12KB  |  270 lines

---

1. -----BEGIN PGP SIGNED MESSAGE-----
2.  
3. ===========================================================================
4. CA-93:10                        CERT Advisory
5.                      July 14, 1993
6.                             Anonymous FTP Activity
7.  
8. - ---------------------------------------------------------------------------
9.  
10. The CERT Coordination Center has been receiving a continuous stream of 
11. reports from sites that are experiencing unwanted activities within their 
12. anonymous FTP areas.  We recognize that this is not a new problem, and we 
13. have been striving to handle requests for assistance on a one-to-one basis 
14. with the reporting administrator. However, since this activity does not seem 
15. to be diminishing, CERT believes that a broad distribution of information 
16. concerning this problem and corresponding solution suggestions should help 
17. to address the widespread nature of this activity.
18.  
19. We are seeing three types of activity regarding anonymous FTP areas.
20.  
21.    A. Improper configurations leading to system compromise.
22.  
23.    B. Excessive transfer of data causing deliberate over-filling of
24.       disk space thus leading to denial of service.
25.  
26.    C. Use of writable areas to transfer copyrighted software and other
27.       sensitive information.
28.  
29. This advisory provides an updated version of the anonymous FTP configuration
30. guidelines that is available from CERT.  The purpose of these guidelines is
31. to assist system administrators at sites that offer anonymous FTP services.
32. These guidelines are intended to aid a system administrator in configuring
33. anonymous FTP capabilities so as to minimize unintended use of services or
34. resources.  Systems administrators should be aware that anonymous FTP
35. capabilities should be configured and managed according to the policies
36. established for their site.
37.  
38. You may obtain future copies of these guidelines through anonymous FTP from
39. cert.org in /pub/tech_tips/anonymous_ftp.
40.  
41. - ---------------------------------------------------------------------------
42.  
43.  
44.         ANONYMOUS FTP CONFIGURATION GUIDELINES
45.  
46. Anonymous FTP can be a valuable service if correctly configured and
47. administered. The first section of this document provides general guidance in
48. initial configuration of an anonymous FTP area.  The second section addresses
49. the issues and challenges involved when a site wants to provide writable
50. directories within their anonymous FTP areas. The third section provides
51. information about previous CERT advisories related to FTP services.
52.  
53. The following guidelines are a set of suggested recommendations that have been
54. beneficial to many sites. CERT recognizes that there will be sites that have
55. unique requirements and needs, and that these sites may choose to implement
56. different configurations.
57.  
58. I.  Configuring anonymous FTP
59.  
60.     A. FTP daemon
61.  
62.        Sites should ensure that they are using the most recent version
63.        of their FTP daemon.
64.  
65.     B. Setting up the anonymous FTP directories
66.  
67.        The anonymous FTP root directory (~ftp) and its subdirectories 
68.        should not be owned by the ftp account or be in the same group as
69.        the ftp account.  This is a common configuration problem.  If any of 
70.        these directories are owned by ftp or are in the same group as the 
71.        ftp account and are not write protected, an intruder will be able to 
72.        add files (such as a .rhosts file) or modify other files.  Many sites
73.        find it acceptable to use the root account.  Making the ftp root 
74.        directory and its subdirectories owned by root, part of the system 
75.        group, and protected so that only root has write permission will help 
76.        to keep your anonymous FTP service secure.
77.  
78.        Here is an example of an anonymous FTP directory setup:
79.  
80.            drwxr-xr-x  7   root    system  512 Mar 1       15:17 ./
81.            drwxr-xr-x 25   root    system  512 Jan 4       11:30 ../
82.            drwxr-xr-x  2   root    system  512 Dec 20      15:43 bin/
83.            drwxr-xr-x  2   root    system  512 Mar 12      16:23 etc/
84.            drwxr-xr-x 10   root    system  512 Jun 5       10:54 pub/
85.  
86.        Files and libraries, especially those used by the FTP daemon and
87.        those in ~ftp/bin and ~ftp/etc, should have the same protections
88.        as these directories.  They should not be owned by ftp or be in the 
89.        same group as the ftp account; and they should be write protected.
90.  
91.     C. Using proper password and group files
92.  
93.        We strongly advise that sites not use the system's /etc/passwd file as 
94.        the password file or the system's /etc/group as the group file in the 
95.        ~ftp/etc directory.  Placing these system files in the ~ftp/etc 
96.        directory will permit intruders to get a copy of these files. 
97.        These files are optional and are not used for access control.
98.  
99.        We recommend that you use a dummy version of both the ~ftp/etc/passwd 
100.        and ~ftp/etc/group files. These files should be owned by root. The
101.        dir command uses these dummy versions to show owner and group
102.        names of the files and directories instead of displaying arbitrary 
103.        numbers.
104.  
105.        Sites should make sure that the ~/ftp/etc/passwd file contains no 
106.        account names that are the same as those in the system's /etc/passwd 
107.        file.  These files should include only those entries that are relevant 
108.        to the FTP hierarchy or needed to show owner and group names. In 
109.        addition, ensure that the password field has been cleared.  The 
110.        examples below show the use of asterisks (*) to clear the password 
111.        field.
112.  
113.        Below is an example of a passwd file from the anonymous FTP area on
114.        cert.org:
115.  
116.            ssphwg:*:3144:20:Site Specific Policy Handbook Working Group::
117.            cops:*:3271:20:COPS Distribution::
118.            cert:*:9920:20:CERT::
119.            tools:*:9921:20:CERT Tools::
120.            ftp:*:9922:90:Anonymous FTP::
121.            nist:*:9923:90:NIST Files::
122.  
123.        Here is an example group file from the anonymous FTP area on cert.org:
124.  
125.            cert:*:20:
126.            ftp:*:90:
127.  
128.  
129. II. Providing writable directories in your anonymous FTP configuration
130.  
131.     There is a risk to operating an anonymous FTP service that permits 
132.     users to store files.  CERT strongly recommends that sites do not 
133.     automatically create a "drop off" directory unless thought has been 
134.     given to the possible risks of having such a service.  CERT has received 
135.     many reports where these directories have been used as "drop off" 
136.     directories to distribute bootlegged versions of copyrighted software or 
137.     to trade information on compromised accounts and password files.  CERT 
138.     has also received numerous reports of files systems being maliciously 
139.     filled causing denial of service problems.  
140.  
141.     This section discusses three ways to address these problems. The first is 
142.     to use a modified FTP daemon. The second method is to provide restricted 
143.     write capability through the use of special directories. The third method
144.     involves the use of a separate directory.
145.  
146.     A. Modified FTP daemon
147.  
148.        If your site is planning to offer a "drop off" service, CERT suggests 
149.        using a modified FTP daemon that will control access to the "drop off" 
150.        directory.  This is the best way to prevent unwanted use of writable
151.        areas. Some suggested modifications are:
152.  
153.        1. Implement a policy where any file dropped off cannot 
154.           be accessed until the system manager examines the file 
155.           and moves it to a public directory.
156.        2. Limit the amount of data transferred in one session.
157.        3. Limit the overall amount of data transferred based on 
158.           available disk space.
159.        4. Increase logging to enable earlier detection of abuses.
160.  
161.        For those interested in modifying the FTP daemon, source code is 
162.        usually available from your vendor. Public domain sources are 
163.        available from:
164.  
165.           wuarchive.wustl.edu   ~ftp/packages/wuarchive-ftpd
166.           ftp.uu.net            ~ftp/systems/unix/bsd-sources/libexec/ftpd
167.           gatekeeper.dec.com    ~ftp/pub/DEC/gwtools/ftpd.tar.Z
168.  
169.        The CERT Coordination Center has not formally reviewed, evaluated, 
170.        or endorsed the FTP daemons described.  The decision to use the FTP 
171.        daemons described is the responsibility of each user or organization, 
172.        and we encourage each organization to thoroughly evaluate these 
173.        programs before installation or use. 
174.  
175.     B. Using protected directories
176.  
177.        If your site is planning to offer a "drop off" service and is unable 
178.        to modify the FTP daemon, it is possible to control access by using a 
179.        maze of protected directories.  This method requires prior coordination
180.        and cannot guarantee protection from unwanted use of the writable FTP 
181.        area, but has been used effectively by many sites.
182.  
183.        Protect the top level directory (~ftp/incoming) giving only execute 
184.        permission to the anonymous user (chmod 751 ~ftp/incoming).  This will 
185.        permit the anonymous user to change directory (cd), but will not allow 
186.        the user to view the contents of the directory.
187.  
188.        drwxr-x--x  4   root    system  512 Jun 11      13:29 incoming/
189.  
190.        Create subdirectories in the ~ftp/incoming using names known only 
191.        between your local users and the anonymous users that you want to 
192.        have "drop off" permission.  The same care used in selecting passwords
193.        should be taken in selecting these subdirectory names because the 
194.        object is to choose names that cannot be easily guessed.  Please do not
195.        use our example directory names of jAjwUth2 and MhaLL-iF.
196.  
197.            drwxr-x-wx 10   root    system  512 Jun 11      13:54 jAjwUth2/
198.            drwxr-x-wx 10   root    system  512 Jun 11      13:54 MhaLL-iF/
199.  
200.        This will prevent the casual anonymous FTP user from writing files in 
201.        your anonymous FTP file system.  It is important to realize that this 
202.        method does not protect a site against the result of intentional or 
203.        accidental disclosure of the directory names.  Once a directory name 
204.        becomes public knowledge, this method provides no protection at all 
205.        from unwanted use of the area.  Should a name become public, a site 
206.        may choose to either remove or rename the writable directory.
207.  
208.     C. Using a single disk drive
209.  
210.        If your site is planning to offer a "drop off" service and is
211.        unable to modify the FTP daemon, it may be desirable to limit
212.        the amount of data transferred to a single file system mounted
213.        as ~ftp/incoming.
214.  
215.        If possible, dedicate a disk drive and mount it as ~ftp/incoming.
216.        If this dedicated disk becomes full, it will not cause a denial
217.        of service problem.
218.  
219.        The system administrator should monitor this directory (~ftp/incoming)
220.        on a continuing basis to ensure that it is not being misused.
221.  
222.  
223. III. Related CERT Advisories
224.  
225.     The following CERT Advisories directly relate to FTP daemons or impact
226.     on providing FTP service:
227.  
228.         CA-93:06.wuarchive.ftpd.vulnerability
229.         CA-92:09.AIX.anonymous.ftp.vulnerability
230.         CA-88:01.ftpd.hole
231.  
232.     Past advisories are available for anonymous FTP from cert.org.
233.  
234.  
235. Copyright (c) Carnegie Mellon University 1993
236.  
237.  
238.  
239. - ---------------------------------------------------------------------------
240.  
241.  
242. If you believe that your system has been compromised, contact the CERT
243. Coordination Center or your representative in FIRST (Forum of Incident
244. Response and Security Teams).
245.  
246. Internet E-mail: cert@cert.org
247. Telephone: 412-268-7090 (24-hour hotline)
248.            CERT personnel answer 8:30 a.m.-5:00 p.m. EST(GMT-5)/EDT(GMT-4),
249.            and are on call for emergencies during other hours.
250.  
251. CERT Coordination Center
252. Software Engineering Institute
253. Carnegie Mellon University
254. Pittsburgh, PA 15213-3890
255.  
256. Past advisories, information about FIRST representatives, and other information
257. related to computer security are available for anonymous FTP from cert.org
258. (192.88.209.5).
259.  
260.  
261. -----BEGIN PGP SIGNATURE-----
262. Version: 2.6.2
263.  
264. iQCVAwUBMaMxOXVP+x0t4w7BAQF1KQP/dLEQ4tblb4HXzm0wuiWDx91Dvp2X8y9I
265. /JDcuofzoulclefMIN2cJKju9qAoIpVbnsxFjwetGOOyqIXEcNc5peQTzVPUnYcM
266. 1XGY0fdwPm3bRvTG1P44Q/i4UUP5h51S6cvP1JNaw+IsDTgGjxU5VWWH2p7ryLuf
267. 8IzRjT8jTo8=
268. =MNst
269. -----END PGP SIGNATURE-----
270.