[보안취약점] U-25. 서비스관리-NFS 접근통제

■ 점검항목 설명

- 접근 제한 설정이 적절하지 않으면 비인가자가 디렉터리나 파일 접근 가능하며 

- 해당 공유 시스템에 원격으로 마운트 하여 중요 파일을 변조하고 나 유출할 위험이 있으므로

- 허가된 사용자만 접속할 수 있도록 접근 제한 설정을 적용

■ 점검기준 

양호	불필요한 NFS서비스 사용X, 불가피하게 사용 시 everyone 공유 제한한경우
취약	불필요한 NFS서비스 사용, everyone 공유를 제한하지 않은 경우

■ 점검방법

▷NFS 서비스 데몬 확인 

# ps -ef | grep nfsd

▷ NFS 서비스 접근제어 파일 설정 (/etc/exports)

불가피하게 NFS 서비스를 사용해야하는 경우 NFS 접근제어 파일에 꼭 필요한 공유 디렉터리만  나열하고

everyone으로 시스템이 마운트 되지 않도록 설정 

예시 
# vi /etc/exports 

/home/data *(rw,sync) 

■ 대응방안

(1) 서비스 필요 시

- 꼭 필요한 공유 디렉터리만 나열

- everyone으로 시스템이 마운트 되어서는 안 됨

# vi /etc/exports

/home/data 192.168.137.132(rw, sync)

※ () 옵션에 인증되지 않은 액세스를 허용하는 "insecure" 구문 설정 금지

- everyone으로 시스템 마운트 금지

# showmount -e [hostname]

- /etc/exports 파일에 접근 가능한 호스트명 추가

/stand host1 host2....

- NFS 서비스 재시작

# service nfs restart

 

(2) 서비스 불필요 시

# ps -ef | grep nfsd
# kill -9 [PID] 


혹은 
# service nfsd stop  // service 서비스명 명령