U-52 Telnet 서비스 비활성화

가이드라인 원문

상세 설명

1. 판단 기준

기본 판단 기준

• 양호: Telnet 서비스가 비활성화되고 SSH만 사용하는 경우
• 취약: Telnet 서비스가 활성화된 경우

경계 케이스 (Edge Case) 처리 방법

권장 설정값

2. 점검 방법

Linux 점검

Telnet은 평문으로 통신하므로 반드시 SSH로 대체해야 합니다.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

# 1. Telnet 서비스 상태 확인
echo "=== 1. Telnet Service ==="
systemctl is-active telnet.socket 2>/dev/null
systemctl is-enabled telnet.socket 2>/dev/null

# 2. 포트 listening 확인
echo "=== 2. Port 23 ==="
netstat -tuln | grep :23

# 3. xinetd 설정 확인
echo "=== 3. xinetd Telnet ==="
grep -E "disable\s*=" /etc/xinetd.d/telnet 2>/dev/null

양호 출력 예시:

1
2
3
4
5

=== 1. Telnet Service ===
telnet.socket: inactive (dead)
telnet.socket: disabled
=== 2: Port 23 ===
(결과 없음)

취약 출력 예시:

1
2
3
4

=== 1. Telnet Service ===
telnet.socket: active (running)
=== 2. Port 23 ===
tcp        0      0 0.0.0.0:23              0.0.0.0:*                   LISTEN

3. 조치 방법

Linux (systemd) 설정

1. Telnet 서비스 중지

   1 2 3 4 5 6 7 8

   # 서비스 중지 systemctl stop telnet.socket systemctl disable telnet.socket # 패키지 삭제 yum remove telnet-server # 또는 apt remove telnetd

2. SSH 설치 (대안)

   1 2 3

   yum install openssh-server systemctl enable sshd systemctl start sshd

inetd/xinetd 설정

1. 주석 처리 또는 비활성화

   1 2 3 4 5 6 7

   # /etc/inetd.conf sed -i 's/^telnet/#telnet/' /etc/inetd.conf kill -HUP $(cat /var/run/inetd.pid) # 또는 xinetd sed -i 's/disable = no/disable = yes/' /etc/xinetd.d/telnet systemctl restart xinetd

4. 참고 자료

• CIS Benchmark for Linux: Telnet 비활성화 권고
• NIST SP 800-53: SC-8 (전송 기밀성)
• SSH Protocol: RFC 4254
• man pages: telnet(1), sshd(8)

5. 스크립트

• 취약점 점검 스크립트
  • 이 스크립트는 KISA 주요정보통신기반시설 기술적 취약점 분석·평가 가이드라인(2026)을 준수하여 제작된 자동 점검 도구입니다. 복잡한 단일 파일 방식이 아닌 모듈화된 구조로 설계되어 유지보수가 쉽고 확장이 용이합니다.
  • 다양한 환경에서 테스트를 진행했으나, 혹시 점검 로직에 이슈가 발견되거나 개선이 필요한 경우 적극적인 제보를 부탁드립니다.