[리눅스/서비스 관리] NFS 서비스 비활성화 (U-24)

NFS 서비스 비활성화

 

취약점 개요

■ 위험도
- 상

■ 점검 목적
- NFS(Network File System) 서비스는 한 서버의 파일을 많은 서비스 서버들이 공유하여 사용할 때 많이 이용되는 서비스이지만 이를 이용한 침해사고 위험성이 높으므로 사용하지 않는 경우 중지함

■ 보안 위협
- 비인가자가 NFS 서비스로 인가되지 않은 시스템이 NFS 시스템 마운트 하여 비인가된 시스템 접근 및 파일변조 등의 침해 행위 가능성이 존재함

점검 및 조치 방법

■ 판단 기준
- 양호 : 불필요한 NFS 서비스 관련 데몬이 비활성화 되어 있는 경우
- 취약 : 불필요한 NFS 서비스 관련 데몬이 활성화 되어 있는 경우

■ 조치 방법
사용하지 않는다면 NFS 서비스 중지
아래의 방법으로 NFS 서비스를 제거한 후 시스템 부팅 시, 스크립트 실행 방지 가능
1. /etc/dfs/dfstab의 모든 공유 제거
2. NFS 데몬(nfsd, statd, mountd) 중지
3. 시동 스크립트 삭제 또는, 스크립트 이름 변경

■ 점검 및 조치 사례

 

▶ Linux, AIX, Solaris 5.9 이하 버전
Step 1) NFS 서비스 데몬 중지
# kill -9 [PID]

Step 2) 시동 스크립트 삭제 또는, 스크립트 이름 변경
1. 위치 확인
# ls -al /etc/rc.d/rc*.d/* |grep nfs
2. 이름 변경
# mv /etc/rc.d/rc2.d/S60nfs /etc/rc.d/rc2.d/_S60nfs

▶ HP-US
Step 1) NFS 서비스 데몬 중지
# kill -9 [PID]
Step 2) /etc/rc.config.d/nfsconf 파일 설정 수정
# vi /etc/rc.config.d/nfsconf

 

▶ SOLARIS 5.10 이상 버전 설정 방법
Step 1) NFS 서비스 데몬 확인
svc : /network/nfs/server:default
Step 2) inetadm -d "중지하고자 하는 데몬" 명령으로 서비스 데몬 중지
# inetadm -d svc:/network/nfs/server:default

■ 스크립트

echo "[ U-41 NFS 서비스 비활성화 ]"																		>>	$COMPUTERNAME 2>&1
if [ `ps -ef | egrep -i "$NFS_SERVICE" | grep -v "egrep" | wc -l` -eq 0 ]   
then
	echo "NFS 서비스가 미실행중입니다."																	>>	$COMPUTERNAME 2>&1
else
	ps -ef | egrep $NFS_SERVICE | grep -v "egrep"													>>	$COMPUTERNAME 2>&1
fi
echo " "																							>>	$COMPUTERNAME 2>&1
echo "U-41 END"																						>>	$COMPUTERNAME 2>&1
echo "======================================================================================"		>>	$COMPUTERNAME 2>&1
echo " "																							>>	$COMPUTERNAME 2>&1
echo " "																							>>	$COMPUTERNAME 2>&1

 

■ 용어 설명 / 팁
- NFS(Network File System) : 원격 컴퓨터의 파일시스템을 로컬 시스템에 마운트하여 마치 로컬 파일시스템처럼 사용할 수 있는 프로그램임
NFS 서비스 사용은 원칙적으로 금지되어 있지만 불가피하게 필요한 경우 U-25 항목을 참조하여 통제하여야 함