9장. 네트워크 서비스 보안
Red Hat Enterprise Linux 8은 다양한 유형의 네트워크 서버를 지원합니다. 해당 네트워크 서비스는 시스템 보안을 노출하여 서비스 거부 공격(DoS), 분산 서비스 거부 공격(DDoS), 스크립트 취약성 공격 및 버퍼 오버플로 공격과 같은 다양한 유형의 공격의 위험에 노출될 수 있습니다.
공격에 대한 시스템 보안을 늘리려면 사용하는 활성 네트워크 서비스를 모니터링하는 것이 중요합니다. 예를 들어 네트워크 서비스가 시스템에서 실행 중인 경우 데몬은 네트워크 포트에서 연결을 수신 대기하므로 보안이 저하될 수 있습니다. 네트워크를 통한 공격에 대한 노출을 제한하려면 사용되지 않는 모든 서비스를 꺼야 합니다.
9.1. NetNamespacebind 서비스 보안
Net Namespacebind
서비스는 NIS(Network Information Service) 및 NFS(Network File System)와 같은 원격 프로시저 호출(RPC) 서비스에 대한 동적 포트 할당 데몬입니다. 인증 메커니즘이 약하고 제어하는 서비스에 다양한 포트를 할당할 수 있기 때문에 NetNamespace bind
의 보안을 유지하는 것이 중요합니다.
모든 네트워크에 대한 액세스를 제한하고 서버의 방화벽 규칙을 사용하여 특정 예외를 정의하여 NetNamespace bind
를 보호할 수 있습니다.
-
NFSv2
및NFSv3
서버에는 NetNamespacebind
서비스가 필요합니다. -
NFSv4
에서는rpcbind
서비스가 필요하지 않습니다.
사전 요구 사항
-
Net
Namespacebind
패키지가 설치되어 있어야 합니다. -
firewalld
패키지가 설치되어 서비스가 실행 중입니다.
절차
방화벽 규칙을 추가합니다. 예를 들면 다음과 같습니다.
TCP 연결을 제한하고
111
포트를 통해192.168.0.0/24
호스트에서 패키지를 수락합니다.# firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="192.168.0.0/24" invert="True" drop'
TCP 연결을 제한하고
111
포트를 통해 로컬 호스트에서 패키지를 수락합니다.# firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="127.0.0.1" accept'
UDP 연결을 제한하고
111
포트를 통해192.168.0.0/24
호스트에서 패키지를 수락합니다.# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port port="111" protocol="udp" source address="192.168.0.0/24" invert="True" drop'
방화벽 설정을 영구적으로 설정하려면 방화벽 규칙을 추가할 때
--permanent
옵션을 사용합니다.
방화벽을 다시 로드하여 새 규칙을 적용합니다.
# firewall-cmd --reload
검증
방화벽 규칙을 나열합니다.
# firewall-cmd --list-rich-rule rule family="ipv4" port port="111" protocol="tcp" source address="192.168.0.0/24" invert="True" drop rule family="ipv4" port port="111" protocol="tcp" source address="127.0.0.1" accept rule family="ipv4" port port="111" protocol="udp" source address="192.168.0.0/24" invert="True" drop
추가 리소스
-
NFSv4 전용
서버에 대한 자세한 내용은 NFSv4 전용 서버 구성을 참조하십시오. - firewalld 사용 및 구성