Red Hat Summit7장. 네트워크 서비스 보안
Red Hat Enterprise Linux 9는 다양한 유형의 네트워크 서버를 지원합니다. 네트워크 서비스는 DoS(서비스 거부 공격), DDoS(Distributed Denial of Service Attack), 스크립트 취약점 공격, 버퍼 오버플로 공격과 같은 다양한 유형의 공격에 시스템 보안을 노출할 수 있습니다.
공격에 대한 시스템 보안을 강화하려면 사용하는 활성 네트워크 서비스를 모니터링하는 것이 중요합니다. 예를 들어 네트워크 서비스가 시스템에서 실행되는 경우 해당 데몬은 네트워크 포트의 연결을 수신 대기하므로 보안이 저하될 수 있습니다. 네트워크를 통한 공격에 대한 노출을 제한하려면 사용되지 않은 모든 서비스를 해제해야 합니다.
7.1. Diffiebind 서비스 보안
ResourceOverride bind 서비스는 원격 프로시저 호출(RPC) 서비스(Network Information Service) 및 NFS(Network File System)와 같은 서비스를 위한 동적 포트 할당 데몬입니다. 이 메커니즘은 약한 인증 메커니즘을 가지고 있으며 제어하는 서비스에 대해 광범위한 포트를 할당할 수 있으므로 Diffie bind를 보호하는 것이 중요합니다.
모든 네트워크에 대한 액세스를 제한하고 서버의 방화벽 규칙을 사용하여 특정 예외를 정의하여 Diffie bind 를 보호할 수 있습니다.
-
NFSv3서버에는 Diffiebind서비스가 필요합니다. -
NFSv4에서는rpcbind서비스가 필요하지 않습니다.
사전 요구 사항
-
alice
bind패키지가 설치되어 있어야 합니다. -
firewalld패키지가 설치되었으며 서비스가 실행 중입니다.
절차
방화벽 규칙을 추가합니다. 예를 들면 다음과 같습니다.
TCP 연결을 제한하고
111포트를 통해192.168.0.0/24호스트에서 패키지를 수락합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="192.168.0.0/24" invert="True" drop'
# firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="192.168.0.0/24" invert="True" drop'TCP 연결을 제한하고
111포트를 통해 로컬 호스트에서 패키지를 수락합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="127.0.0.1" accept'
# firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="127.0.0.1" accept'UDP 연결을 제한하고
111포트를 통해192.168.0.0/24호스트에서 패키지를 수락합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port port="111" protocol="udp" source address="192.168.0.0/24" invert="True" drop'
# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port port="111" protocol="udp" source address="192.168.0.0/24" invert="True" drop'방화벽 설정을 영구적으로 설정하려면 방화벽 규칙을 추가할 때
--permanent옵션을 사용합니다.
방화벽을 다시 로드하여 새 규칙을 적용합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow firewall-cmd --reload
# firewall-cmd --reload
검증
방화벽 규칙을 나열합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow firewall-cmd --list-rich-rule
# firewall-cmd --list-rich-rule rule family="ipv4" port port="111" protocol="tcp" source address="192.168.0.0/24" invert="True" drop rule family="ipv4" port port="111" protocol="tcp" source address="127.0.0.1" accept rule family="ipv4" port port="111" protocol="udp" source address="192.168.0.0/24" invert="True" drop
추가 리소스
-
NFSv4 전용서버에 대한 자세한 내용은 NFSv4 전용 서버 구성을참조하십시오. - firewalld 사용 및 구성
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}