[UNIX] U-25 NFS 접근 통제

U-25 NFS 접근 통제

항목중요도 : 상

1. 취약점 개요

▶ 점검내용 : NFS(Network File System) 사용 시 허가된 사용자만 접속할 수 있도록 접근 제한 설정 적용 여부 점검

▶ 점검목적 : 접근권한이 없는 비인가자의 접근을 통제함

▶ 보안위협

 · 접근제한 설정이 적절하지 않을 경우 인증절차 없이 비인가자의 디렉터리나 파일의 접근이 가능하며, 해당 공유 시스템에 원격으로 마운트하여 중요 파일을 변조하거나 유출할 위험이 있음

▶ 참고

※ NFS(Network File System): 원격 컴퓨터의 파일시스템을 로컬 시스템에 마운트하여 마치 로컬 파일시스템처럼 사용할 수 있는 프로그램임
※ NFS 서비스 사용 금지가 원칙이나 불가피하게 사용이 필요한 경우 NFS v2, v3은 평문으로 전송되는 취약점이 있기 때문에 암호화 되는 v4를 사용하는 것을 권고함 

2. 점검대상 및 판단 기준

▶  대상 :  SOLARIS, Linux, AIX, HP-UX 등

▶  판단기준

 · 양호 : 불필요한 NFS 서비스를 사용하지 않거나, 불가피하게 사용 시 everyone 공유를 제한한 경우

 · 취약 : 불필요한 NFS 서비스를 사용하고 있고, everyone 공유를 제한하지 않은 경우

▶  조치방법 : 사용하지 않는다면 NFS 서비스 중지, 사용할 경우 NFS 설정파일에 everyone 공유 설정 제거

 

3. LINUX 초기 설정값

※ 테스트한 LINUX의 버전은 VMWare에 구성한 Ubuntu 24.04.1 LTS 버전 입니다.

 

U-25 항목은 U-24에서 필요에 의해 NFS를 사용할 경우에 해당하는 항목입니다.

해당할경우 아래와 같이 공유를 제한하여 사용해야합니다.

U-24에서 NFS를 사용하지 않을 경우 U-25 항목도 양호 입니다!

 

확인방법

1) "/etc/exports" 파일 존재 여부 확인

 

저는 U-24에서 NFS를 사용하지 않았고, exports 라는 파일이 존재하지 않는것을 확인 할 수 있습니다.

양호입니다.

 

 

4. 조치

조치가 필요하시다면 아래와 같이 입력하면됩니다.

 

 

1) /etc/exports 파일에 접근 가능한 호스트명 추가
(예) /stand host1(또는 IP주소) host2

 

2) 접속시 인증 및 클라이언트 권한 nobody 설정
# vi /etc/export
# /stand host1 (root_squash)
※ () 옵션에 인증되지 않은 엑세스를 허용하는 “insecure" 구문 설정 금지

 

3) NFS 서비스 재구동
#/etc/exportfs –u
#/etc/exportfs –a

 

 

5. 결과

이렇게 변경하셨다면 양호 입니다!

 

 

 

Linux를 마스터하는 그날까지

화이팅!