Red Hat Summit7.3. NFS 서비스 보안
Kerberos를 사용하여 모든 파일 시스템 작업을 인증하고 암호화하여 NFSv4) 네트워크 파일 시스템 버전 4를 보호할 수 있습니다. NAT(Network Address Translation) 또는 방화벽과 함께 NFSv4를 사용하는 경우 /etc/default/nfs 파일을 수정하여 위임을 끌 수 있습니다. 위임은 서버가 파일 관리를 클라이언트에 위임하는 기술입니다.
반면 NFSv3에서는 파일 잠금 및 마운트에 Kerberos를 사용하지 않습니다.
NFS 서비스는 모든 버전의 NFS에서 TCP를 사용하여 트래픽을 전송합니다. 이 서비스는 RPCSEC_GSS 커널 모듈의 일부로 Kerberos 사용자 및 그룹 인증을 지원합니다.
NFS를 사용하면 원격 호스트가 네트워크를 통해 파일 시스템을 마운트하고 로컬에 마운트된 것처럼 해당 파일 시스템과 상호 작용할 수 있습니다. 파일 시스템을 공유할 때 중앙 집중식 서버에서 리소스를 병합하고 /etc/nfsmount.conf 파일에서 NFS 마운트 옵션을 추가로 사용자 지정할 수 있습니다.
7.3.1. NFS 서버 보안을 위한 내보내기 옵션
NFS 서버는 /etc/exports 파일에 있는 호스트로 내보낼 파일 시스템에 대한 디렉터리 및 호스트의 목록 구조를 결정합니다.
/etc/exports 파일에서 다음 내보내기 옵션을 사용할 수 있습니다.
ro- NFS 볼륨을 읽기 전용으로 내보냅니다.
rw-
NFS 볼륨에서 읽기 및 쓰기 요청을 허용합니다. 쓰기 액세스 허용으로 인해 공격 위험이 증가하므로 이 옵션을 신중하게 사용하십시오. 시나리오에
rw옵션을 사용하여 디렉터리를 마운트해야 하는 경우 가능한 위험을 줄이기 위해 모든 사용자가 쓸 수 없는지 확인합니다. root_squash-
uid/gid0의 요청을 anonymousuid/gid에 매핑합니다. 이는bin사용자 또는직원그룹과 같이 동일하게 민감한 다른 uid 또는 gid에는 적용되지 않습니다. no_root_squash-
루트 스쿼시를 끕니다. 기본적으로 NFS 공유에서는
root사용자를 권한이 없는 사용자 계정인nobody사용자로 변경합니다. 이렇게 하면 생성된 모든루트파일의 소유자가nobody로 변경되어setuid비트가 설정된 프로그램 업로드가 방지됩니다.no_root_squash옵션을 사용하는 경우 원격 루트 사용자는 공유 파일 시스템의 파일을 변경하고 다른 사용자를 위해 trojans의 애플리케이션을 유지할 수 있습니다. 보안-
내보내기를 예약된 포트로 제한합니다. 기본적으로 서버는 예약된 포트를 통해서만 클라이언트 통신을 허용합니다. 그러나 모든 사용자가 여러 네트워크의 클라이언트에서
루트사용자가 되기 때문에 예약된 포트를 통한 통신이 권한이 있다고 가정하는 것은 거의 안전하지 않습니다. 따라서 예약된 포트에 대한 제한은 제한된 값입니다. Kerberos, 방화벽 및 특정 클라이언트에 대한 내보내기 제한에 의존하는 것이 좋습니다.
/etc/exports 파일의 구문에 있는 추가 공백으로 인해 구성이 크게 변경될 수 있습니다.
다음 예에서 /tmp/nfs/ 디렉터리는 bob.example.com 호스트와 공유되며 읽기 및 쓰기 권한이 있습니다.
/tmp/nfs/ bob.example.com(rw)
다음 예제는 이전 디렉터리와 동일하지만 읽기 전용 권한으로 bob.example.com 호스트와 동일한 디렉터리를 공유하고 호스트 이름 뒤에 단일 공백 문자로 인해 읽기 및 쓰기 권한이 있는 세계로 공유합니다.
/tmp/nfs/ bob.example.com (rw)
showmount -e < hostname > 명령을 입력하여 시스템의 공유 디렉토리를 확인할 수 있습니다.
또한 NFS 서버를 내보낼 때 다음과 같은 모범 사례를 고려하십시오.
- 일부 애플리케이션에서는 암호를 일반 텍스트 또는 약한 암호화된 형식으로 저장하므로 홈 디렉터리를 내보내는 것이 위험할 수 있습니다. 애플리케이션 코드를 검토하고 개선하여 위험을 줄일 수 있습니다.
- 일부 사용자는 SSH 키에 암호를 설정하지 않으므로 홈 디렉터리의 위험이 다시 발생합니다. 암호 사용을 강제하거나 Kerberos를 사용하여 이러한 위험을 줄일 수 있습니다.
-
NFS 내보내기를 필수 클라이언트로만 제한합니다. NFS 서버에서
showmount -e명령을 사용하여 서버가 내보내는 내용을 검토합니다. 특히 필요하지 않은 항목을 내보내지 마십시오. - 불필요한 사용자가 서버에 로그인하여 공격 위험을 줄일 수 없습니다. 서버에 액세스할 수 있는 사용자와 사용자를 주기적으로 확인할 수 있습니다.
파일 시스템의 하위 디렉터리 내보내기는 안전하지 않으므로 전체 파일 시스템을 내보냅니다. 공격자는 부분적으로 내보낸 파일 시스템의 내보내기되지 않은 부분에 액세스할 수 있습니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}