[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139:00898] IIS FTP で、 Administrat or の使用停止
- To: port139@xxxxxxxxxxxxx
- Subject: [port139:00898] IIS FTP で、 Administrat or の使用停止
- From: Tomoki Sanaki <sanaki@xxxxxxxxxxxx>
- Date: Fri, 28 Dec 2001 10:56:44 +0900
佐名木という者です。
WUFTPd などは、FTP 使用可能なユーザと使用できないユーザを
定義するファイルがあると思うのですが、
(一般には、root ユーザでは FTP を使用できないですよね)IIS FTP では、
ローカル・ログオン権限があれば、IIS FTP サービスを使用できるので、
なんとか、Administrator は使用できないようにできないのかな。
と思い、以下の実験をしてみました。
IIS FTP のルート・ディレクトリの
ユーザ「Administrator」のアクセス権を
(NTFS ファイル・システム・アクセス権)を
「なし」に設定してみた。
結果としては、ログオンできなくなり、WUFTPd などと同等の機能を実現できそうなのですが、
C:\>ftp 192.168.1.1
Connected to 192.168.1.1.
220 TestSrv Microsoft FTP Service (Version 4.0).
User (192.168.1.1:(none)): administrator
331 Password required for administrator.
Password:
530 User administrator cannot log in, home directory inaccessible.
Login failed.
ftp>
というメッセージになります。
パスワード間違えのメッセージ
C:\>ftp 192.168.1.1
Connected to 192.168.1.1.
220 TestSrv Microsoft FTP Service (Version 4.0).
User (192.168.1.2:(none)): administrator
331 Password required for administrator.
Password:
530 User administrator cannot log in.
Login failed.
ftp>
と比較すると、パスワードクラックのターゲットになり得る危険性がありますので、
結局、このアイデア(ftp ルートのアクセス権の剥奪)ではセキュリティ上
不十分かな。
まぁ、IIS FTP でAdministrator 権限で使用されないだけでも、
価値はあるのですが....
# Administrator のローカル・ログオン権限を剥奪するわけにもいかず...
他の方法があるのかな....
以上、よろしくお願いします
2001-12/28(金) 10:47:13 作成開始
-----------------------------------------------------
佐名木 智貴(Tomoki Sanaki)
E-mail=active@xxxxxxxxxxxxxxxxxx
PGP FingerPrint
= 34E5 2A31 45C8 2CB5 3CED 0B46 F328 A402 7182 DCC6