[unix, linux 서버] nfs 접근 통제

 

 

U-25 NFS 접근 통제

 

■ 항목 중요도 : 상

 

■ 점검내용

 

NFS(Network File System) 사용 시 허가된 사용자만 접속할 수 있도록 접근 제한 설정 적용 여부 점검

 

■ 점검목적

 

접근권한이 없는 비인가자의 접근을 통제함

 

■ 보안위협

 

접근제한 설정이 적절하지 않을 경우 인증절차 없이 비인가자의 디렉터리나 파일의 접근이 가능하며

해당 공유 시스템에 원격으로 마운트하여 중요 파일을 변조하거나 유출할 위험이 있음

 

■ 참고

 

※ NFS(Network File System)

원격 컴퓨터의 파일시스템을 로컬 시스템에 마운트하여 마치 로컬 파일시스템처럼 사용할 수 있는 프로그램임

※ NFS 서비스 사용 금지가 원칙이나 불가피하게 사용이 필요한 경우 

NFS v2, v3은 평문으로 전송되는 취약점이 있기 때문에 암호화 되는 v4를 사용하는 것을 권고함

 

 

점검대상 및 판단기준

 

■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등

 

양호

불필요한 NFS 서비스를 사용하지 않거나, 불가피하게 사용 시 everyone 공유를 제한한 경우

 

취약

불필요한 NFS 서비스를 사용하고 있고, everyone 공유를 제한하지 않은 경우

 

■ 조치방법

 

사용하지 않는다면 NFS 서비스 중지, 사용할 경우 NFS 설정파일에 everyone 공유 설정 제거

 

 

점검 방법

 

■ OS별 점검 파일 위치 및 점검 방법

 

SOLARIS, HP-UX

“/etc/dfs/dfstab, /etc/dfs/sharetab 파일

 

LINUX, AIX, HP-UX

"/etc/exports" 파일

 

AIX

[Telnet] #cat /etc/security/user rlogin = false [SSH] #cat /etc/sshd_config PermitRootLogin no

불가피하게 NFS 서비스를 사용하여야 하는 경우

NFS 접근제어 파일에 꼭 필요한 공유 디렉터리만 나열하고, everyone으로 시스템이 마운트 되지 않도록 설정

 

■ /etc/dfs/dfstab 설정 예문

 

rw=client, ro=client 형식으로 접속 허용 client 지정
• 사용자의 읽기, 쓰기 권한 접속 허용: share -F nfs -o rw, ro /export/home/test
• 사용자의 권한 접속 제한: share -F nfs -o rw=client1:client2, ro=client1:client2 /export/home/test

 

※ 읽기(ro), 쓰기(rw) 권한에 각각 사용자를 설정하여야 읽기, 쓰기 권한 모두 제한 가능

 

■ /etc/exports 설정 예문

 

Step 1) /etc/exports 파일에 접근 가능한 호스트명 추가
(예) /stand host1(또는 IP주소) host2

Step 1) 접속시 인증 및 클라이언트 권한 nobody 설정
# vi /etc/export
# /stand host1 (root_squash)

※ () 옵션에 인증되지 않은 엑세스를 허용하는 “insecure" 구문 설정 금지

Step 3. NFS 서비스 재구동
#/etc/exportfs –u
#/etc/exportfs –a

 

■ 조치 시 영향

showmount, share, exportfs 등의 명령어를 사용하여 로컬 서버에 마운트 되어있는 디렉터리 확인 및 

NFS 설정파일에 공유디렉터리 설정 여부 확인 후 해당 디렉터리가 존재하지 않을 경우 서비스 중지 가능