[보안취약점] U-28. 서비스관리 NIS, NIS+ 점검

■ 점검항목 설명

- 보안에 취약한 NIS 사용하면 비 인가자가 타 시스템의 root 권한 획득이 가능하므로 사용하지 않는 것이 바람직

- 사용한다면 NIS보다 NIS+ 사용하는것을 권장

 

※ NIS란? NIS 주 서버는 정보표를 고융하여 NIS 대응 파일로 변환하고 이 대응 파일들이 네트워크를 통해 제공됨으로써 모든 컴퓨터에 정보가 갱신되도록 함. 네트워크를 통한 공유로부터 관리자와 사용자들에게 일관성 있는 시스템 환경을 제공함

■ 점검 기준

양호	NIS 서비스가 비활성화 필요시 NIS+를 사용하는 경우
취약	NIS 서비스가 활성화 되어있으면

■ 점검 방법

- NIS, NIS+ 서비스 구동 확인

# ps -ef | grep ypserv | grep -v "grep"
# ps -ef | grep ypbind | grep -v "grep"
# ps -ef | grep ypxfrc | grep -v "grep"
# ps -ef | rpc.yppasswdd | grep -v "grep"
# ps -ef | rpc.ypupdated  | grep -v "grep"

ypserv : master와 slave 서버에서 실행되며 클라이언트로부터 ypbind 요청에 응답

ypbind : 모든 NIS 시스템에서 실행되며 클라이언트와 서버를 바인딩하고 초기화함

ypxfrd : NIS 마스터 서버에서만 실행되며 고속으로 NIS 맵 전송

rpc.yppasswdd : 사용자들이 패스워드를 변경하기 위해 사용

rpc.ypupdated : NIS 마스터 서버에서만 사용되며 고속으로 암호화하여 NIS 맵 전송

■ 대응방안

▷NIS 서비스 데몬 중지

# kill -9 [PID]

▷ 시동 스크립트 삭제 또는 이름 변경

1. 위치확인
# ls -al /etc/rc.d/rc*.d/* | egrep "ypserv|ypbind|ypxfrd|rpc.yppasswdd|rpc.

2. 이름변경
# mv /etc/rc.d/rc2.d/S73ypbind /etc/rc.d/rc2.d/_S73ypbind