주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.
주요정보통신기반시설 취약점 Unix 점검 항목
■ 취약점 개요
○ 점검개요 : NFS(Network File System) 사용 시 허가된 사용자만 접속할 수 있도록 접근 제한 설정 적용 여부 점검
○ 점검목적 : 접근권한이 없는 비인가자의 접근을 통제
○ 보안위협 : 접근제한 설정이 적절하지 않을 경우 인증절차 없이 비인가자의 디렉터리나 파일의 접근이 가능하며, 해당 공유 시스템에 원격으로 마운트하여 중요 파일을 변조하거나 유출할 위험 존재
○ 점검대상 : SOLARIS, LINUX, AIX, HP-UX 등
○ 판단기준
- 양호 : 불필요한 NFS 서비스를 사용하지 않거나, 불가피하게 사용 시 everyone 공유를 제한한 경우
- 취약 : 불필요한 NFS 서비스를 사용하고 있고, everyone 공유를 제한하지 않은 경우
■ 점검방법
○ SOLARIS, HP-UX
“/etc/dfs/dfstab”, “/etc/dfs/sharetab” 파일
○ LINUX, AIX, HP-UX
“/etc/exportsn” 파일
※ 불가피하게 NFS 서비스를 사용하여야 하는 경우 NFS 접근제어 파일에 꼭 필요한 공유 디렉터리만 나열하고, everyone으로 시스템이 마운트 되지 않도록 설정한다.
■ 조치방안
○ /etc/dfs/dfstab 설정 예문
1. rw=client, ro=client 형식으로 접속 허용 client 지정
ㆍ사용자의 읽기, 쓰기 권한 접속 허용
share -F nfs -o rw, ro /export/home/test
ㆍ사용자의 권한 접속 제한
share -F nfs -o rw=client1:client2/ ro=client1:client2 /export/home/test
읽기(ro), 쓰기(rw) 권한에 각각 사용자를 설정하여야 읽기, 쓰기 권한 모두 제한 가능
○ /etc/exports 설정 예문
1. everyone으로 시스템 마운트 금지
#showmount -e hostname 명령어로 확인
2. /etc/exports 파일에 접근 가능한 호스트명 추가
(예) /stand host1 host2 ....
3. NFS 서비스 재구동
#/etc/exportfs -u
#/etc/exportfs -a
■ 조치 시 영향
showmount, share, exportfs 등의 명령어를 사용하여 로컬 서버에 마운트 되어있는 디렉터리 확인 및 NFS 설정파일에 공유디렉터리 설정 여부 확인 후 해당 디렉터리가 존재하지 않을 경우 서비스 중지 가능
■ NFS(Network File System)
○ 원격 컴퓨터의 파일시스템을 로컬 시스템에 마운트하여 마치 로컬 파일시스템처럼 사용할 수 있는 프로그램
※ NFS 서비스 사용은 원칙적으로 금지되어 있지만 불가피하게 필요한 경우
'취약점 진단 가이드 > UNIX 서버 진단 가이드' 카테고리의 다른 글
| U-44(상) RPC 서비스 확인 (0) | 2021.01.23 |
|---|---|
| U-43(상) automountd 제거 (0) | 2021.01.22 |
| U-41(상) NFS 서비스 비활성화 (0) | 2021.01.21 |
| U-40(상) DoS 공격에 취약한 서비스 비활성화 (0) | 2021.01.21 |
| U-39(상) cron 파일 소유자 및 권한 설정 (0) | 2021.01.20 |