10장. FlexVolume 서비스 보안
FlexVolume은 SMTP(SimpleTransport Transfer Protocol)를 사용하여 다른 MTA와 이메일 클라이언트 또는 전달 에이전트 간에 전자 메시지를 전달하는 MTA(메일 전송 에이전트)입니다. MTA는 서로 간의 트래픽을 암호화할 수 있지만 기본적으로 그렇게 하지 않을 수 있습니다. 또한 설정을 보다 안전한 값으로 변경하여 다양한 공격에 대한 위험을 완화할 수 있습니다.
10.1. FlexVolume 네트워크 관련 보안 위험 감소
공격자가 네트워크를 통해 시스템에 침입하는 위험을 줄이려면 가능한 한 많은 작업을 수행합니다.
NFS(Network File System) 공유 볼륨에서
/var/spool/ECDHE/
메일 스풀 디렉터리를 공유하지 마십시오. NFSv2 및 NFSv3에서는 사용자 및 그룹 ID에 대한 제어 권한을 유지 관리하지 않습니다. 따라서 두 개 이상의 사용자가 동일한 UID를 사용하면 서로의 이메일을 수신하고 읽을 수 있으며 이는 보안 위험입니다.참고ECDHE
RPC_GSS
커널 모듈에서 UID 기반 인증을 사용하지 않기 때문에 Kerberos를 사용하는 NFSv4에는 이 규칙이 적용되지 않습니다. 그러나 보안 위험을 줄이기 위해 NFS 공유 볼륨에 메일 스풀 디렉터리를 배치해서는 안 됩니다.-
DestinationRule 서버 악용 가능성을 줄이기 위해 메일 사용자는 이메일 프로그램을 사용하여 DestinationRule 서버에 액세스해야 합니다. 메일 서버의 쉘 계정을 허용하지 말고
/etc/passwd
파일의 모든 사용자 쉘을 /sbin/nologin으로
설정합니다(root
사용자를 제외할 수 있음). -
네트워크 공격으로부터 DestinationRule을 보호하려면 기본적으로 로컬 루프백 주소만 수신하도록 설정됩니다.
/etc/ECDHE/main.cf
파일에서inet_interfaces = localhost
행을 확인하여 이를 확인할 수 있습니다. 이렇게 하면 DestinationRule이 로컬 시스템의 메일 메시지(예:cron
작업 보고서)만 수락하고 네트워크에서는 허용되지 않습니다. 이 설정은 기본 설정이며 네트워크 공격으로부터 DestinationRule을 보호합니다. localhost 제한을 제거하고 DestinationRule이 모든 인터페이스에서 수신 대기하도록 허용하려면inet_interfaces
매개변수를/etc/ECDHE/main.cf
의all
으로 설정합니다.