Red Hat Training

A Red Hat training course is available for RHEL 8

6장. NFS 보안

NFS 보안 위험을 최소화하고 서버에서 데이터를 보호하려면 서버에서 NFS 파일 시스템을 내보내거나 클라이언트에 마운트할 때 다음 섹션을 고려하십시오.

6.1. AUTH_SYS 및 내보내기 컨트롤을 사용한 NFS 보안

NFS는 내보낸 파일에 대한 액세스를 제어하기 위해 다음과 같은 기존 옵션을 제공합니다.

  • 서버는 IP 주소 또는 호스트 이름으로 파일 시스템을 마운트할 수 있는 호스트를 제한합니다.
  • 서버는 로컬 사용자에 대해 수행하는 것과 동일한 방식으로 NFS 클라이언트의 사용자에 대해 파일 시스템 권한을 적용합니다. 일반적으로 NFS는 클라이언트에 따라 사용자의 UID 및 GID를 명시하는 AUTH_SYS호출 메시지(AUTH_UNIX 라고도 함)를 사용하여 이 작업을 수행합니다. 이는 악의적이거나 잘못 구성된 클라이언트가 이 문제를 쉽게 해결할 수 있으며 사용자가 그렇지 않아야 하는 파일에 액세스할 수 있음을 의미합니다.

잠재적인 위험을 제한하기 위해 관리자는 액세스를 일반 사용자 및 그룹 ID로 읽기 전용 또는 스쿼시 사용자 권한으로 제한하는 경우가 많습니다. 안타깝게도 이러한 솔루션은 원래 의도했던 방식으로 NFS 공유를 사용하지 못하게 합니다.

또한 공격자가 NFS 파일 시스템을 내보내는 시스템에서 사용하는 DNS 서버를 제어하는 경우 특정 호스트 이름 또는 정규화된 도메인 이름과 관련된 시스템을 무단 시스템으로 가리킬 수 있습니다. 이 시점에서는 NFS 마운트에 대한 추가 보안을 제공하기 위해 사용자 이름 또는 암호 정보가 교환되지 않으므로 NFS 공유를 마운트할 수 있는 시스템이 허용되지 않습니다.

NFS를 통해 디렉토리를 내보낼 때 와일드카드를 사용하여 의도한 것보다 더 많은 시스템을 포함시킬 수 있으므로 와일드카드를 사용해야 합니다.

추가 리소스

  • NFS 및 rpcbind 를 보호하려면 다음을 사용합니다(예: nftablesfirewalld ).
  • nft(8) 매뉴얼 페이지
  • firewalld-cmd(1) 매뉴얼 페이지