NFS 데몬 비활성화와 공유 디렉터리 지정방법
NFS 서비스의 취약점을 해결하기 위한 데몬 비활성화 방법과 공유 디렉터리 지정방법, 소유자 및 권한 변경방법을 소개하겠습니다.
NFS에 대하여
NFS 기능
NFS(Network File System)는 1987년 Sun Microsystems사에서 개발한 프로토콜로, 네트워크 프로토콜을 사용하여 다른 장비(서버, PC 등)의 디스크에 쉽게 접근할 수 있게 하는 네트워크 파일 시스템입니다.
윈도우즈의 공유 폴더와 유사한 기능을 제공하며, 서버에서 공유한 디렉터리를 로컬 장치처럼 이용할 수 있도록 개발된 시스템이죠.
NFS 관련 RPM
NFS 서버를 구축하기 위해서는 다음 두 패키지를 필수적으로 설치해줘야 합니다.
- rpcbind
- nfs-utils
rpcbind는 RPC 기반 연결을 위해 필요한 패키지이며, rpcinfo와 rpcbind 등을 포함하고 있습니다.
nfs-utils는 NFS 서버와 관련된 패키지이며, 명령어와 데몬이 포함되어 있습니다.
NFS 위험성
NFS는 사용자간 편리하게 서버 자원을 공유할 수 있다는 장점이 있지만, 네트워크상 데이터 송수신이 이루어지는 만큼 위험에 노출되어 있습니다. 보안에 취약하다는 것인데요.
그렇기 때문에 각종 보안패치 설치가 선행되어야 하며 접근 권한 설정도 적절히 조치해야 합니다.
NFS 취약점 세가지
NFS의 취약점은 크게 암호화 문제, 접근 제어, 미인증 접근으로 나누어 볼 수 있습니다.
[암호화 문제]
기본적으로 데이터 암호화를 하지 않으므로 네트워크상 데이터 노출 문제가 따릅니다.
[접근 제어]
접근 제어 설정이 어렵기 때문에 공격자가 파일에 접근할 가능성이 큽니다.
[미인증 접근]
사용자 인증이 기본사항이 아니기 때문에 비인가자의 접근이 가능합니다.
NFS 취약점 확인방법
데몬 활성화 여부 확인
- 명령어: #ps -ef | grep nfsd
참고로 솔라리스 SunOS 5.10 이상의 버전에서는 #inedadm | egrep "nfs|statd|lockd" 명령어로 확인할 수 있습니다.
🔎 솔라리스란? [알아보기]
공유 디렉터리 확인
- SunOS: /etc/dfs/dfstab, /etc/dfs/sharetab
- Linux, AIX: /etc/exports
설정파일 소유자 확인
NFS 접근제어 설정파일을 비인가 사용자가 마운트 하여 위변조를 시도할 수 있습니다.
NFS 접근제어 설정파일의 소유자가 root인지 확인하고, 권한이 644 이하인지 확인하세요.
NFS 취약점 조치장법
서비스 중지
NFS 서비스를 이용하지 않는 서버에서는 서비스 자체를 중지하는 것이 좋습니다.
- SunOS(5.10 이상): #inetadm -d svc:/network/nfs/server:default
- Linux, AIX, SunOS(5.9 이하): kill -9 [NFS 데몬 PID]
공유 디렉터리 지정
NFS 서비스를 사용하는 환경이라면, 공유 디렉터리를 지정할 수 있습니다.
- NFS 설정 파일: /etc/dfs/dfstab
설정파일 소유자 권한 변경
NFS 접근제어 설정파일의 소유자를 root로 지정하고, 권한을 644 이하가 되도록 변경하세요.
소유자 및 권한 변경 명령어는 다음과 같습니다.
- 소유자 변경: #chwon root /etc/exports
- 권한 변경: #chmod 644 /etc/exports
이상으로 NFS 서비스를 사용하는 분들이 주의해야 할 취약사항과 꼭 필요한 보안설정 방법을 소개하였습니다. 설정방법이 어렵지 않으므로 사용하는 환경에 반영하셔서 위협으로부터 방어하시기 바랍니다.
댓글