[리눅스 서버] 서버 보안 가이드 - NFS 서비스 취약점
■ 취약점 구분 : 네트워크 서비스
■ 취약점 항목 : NFS(Network File System) 제한
■ 대상 OS : Linux
■ 위험도 : 상
■ 방법 : 특별한 목적으로 사용하지 않는 NFS(Network File System) 서비스 제거
■ 내용
- NFS는 Network 를 통해 File System 을 공유하는 목적으로 설계되어 이를 이용한 침해사고 위험성이 높음
- 특별한 목적으로 사용하지 않는다면 NFS 서비스를 제거하고, NFS 서비스의 일부인 ststd, lockd를 중지 해야 함
■ 조치방법
<서비스 필요 시>
- NFS를 원격에서 mount하고 있는 시스템을 확인 후, 인가되지 않은 시스템은 Umount
# showmount
# umount "파일시스템 이름"
- "/etc/exports 파일에 꼭 필요한 공유 디렉토리만 나열하고, everyone으로 시스템이 마운트 되어서는 안되며, NFS 관련 보안패치를 수행해야 함
# showmount -e hostname 명령어를 실행하여 everyone으로 시스템이 마운트 되어 있는지 확인
<서비스 불필요 시>
① NFS 데몬(nfsd, statd, lockd)을 중지
# ps -ef | grep nfsd
root 3809 3721 0 08:44:40 ? 0:00 /usr/lib/nfs/nfsd
# ps -ef | grep statd
daemon 156 1 0 May 14 ? 0:00 /usr/lib/nfs/statd
# ps –ef | grep lockd
daemon 749 1 0 May 27 ? 0:00 /usr/lib/nfs/lockd
# kill –9 3809
# kill –9 156
# kill -9 749
② 시스템 재시작시 NFS Server 가 시작되지 않도록 함
# mv /etc/rc3.d/S15nfs.server /etc/rc3.d/_S15nfs.server
# cd /etc/rc2.d
# mv S73nfs.client s73.nfs.client
■ 서비스 영향
- showmount, share, exportfs 등의 명령어를 사용하여 로컬 서버에 mount 되어 있는 디렉토리 확인
- 로컬 서버에 mount 되어 잇는 디렉토리가 없다면 서비스 중지 가능
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Infra > 리눅스 서버' 카테고리의 다른 글
| [리눅스 서버] 서버 보안 가이드 - 로그 관리 (1) | 2016.10.10 |
|---|---|
| [리눅스 서버] 서버 보안 가이드 - 'r' commands 서비스 제거 (0) | 2016.10.10 |
| [리눅스 서버] 서버 보안 가이드 - 부팅 스크립트 권한 설정 (0) | 2016.10.08 |
| [리눅스 서버] 서버보안 가이드 - service 파일 권한 설정 (0) | 2016.10.07 |
| [리눅스 서버] 서버보안 가이드 - Crontab 취약점 (0) | 2016.10.07 |