8장. 네트워크 서비스 보안

Red Hat Enterprise Linux 9는 다양한 유형의 네트워크 서버를 지원합니다. 네트워크 서비스는 DoS(서비스 거부 공격), DDoS(Distributed Denial of Service Attack), 스크립트 취약점 공격, 버퍼 오버플로 공격과 같은 다양한 유형의 공격에 시스템 보안을 노출할 수 있습니다.

공격에 대한 시스템 보안을 강화하려면 사용하는 활성 네트워크 서비스를 모니터링하는 것이 중요합니다. 예를 들어 네트워크 서비스가 시스템에서 실행되는 경우 해당 데몬은 네트워크 포트의 연결을 수신 대기하므로 보안이 저하될 수 있습니다. 네트워크를 통한 공격에 대한 노출을 제한하려면 사용되지 않은 모든 서비스를 해제해야 합니다.

8.1. Diffiebind 서비스 보안

ResourceOverride bind 서비스는 원격 프로시저 호출(RPC) 서비스(Network Information Service) 및 NFS(Network File System)와 같은 서비스를 위한 동적 포트 할당 데몬입니다. 이 메커니즘은 약한 인증 메커니즘을 가지고 있으며 제어하는 서비스에 대해 광범위한 포트를 할당할 수 있으므로 Diffie bind를 보호하는 것이 중요합니다.

모든 네트워크에 대한 액세스를 제한하고 서버의 방화벽 규칙을 사용하여 특정 예외를 정의하여 Diffie bind 를 보호할 수 있습니다.

참고
  • NFSv3 서버에는 Diffie bind 서비스가 필요합니다.
  • NFSv4에서는 rpcbind 서비스가 네트워크에서 수신 대기할 필요가 없습니다.

사전 요구 사항

  • alice bind 패키지가 설치되어 있어야 합니다.
  • firewalld 패키지가 설치되었으며 서비스가 실행 중입니다.

절차

  1. 방화벽 규칙을 추가합니다. 예를 들면 다음과 같습니다.

    • TCP 연결을 제한하고 111 포트를 통해 192.168.0.0/24 호스트에서 패키지를 수락합니다.

      # firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="192.168.0.0/24" invert="True" drop'
    • TCP 연결을 제한하고 111 포트를 통해 로컬 호스트에서 패키지를 수락합니다.

      # firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="127.0.0.1" accept'
    • UDP 연결을 제한하고 111 포트를 통해 192.168.0.0/24 호스트에서 패키지를 수락합니다.

      # firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port port="111" protocol="udp" source address="192.168.0.0/24" invert="True" drop'

      방화벽 설정을 영구적으로 설정하려면 방화벽 규칙을 추가할 때 --permanent 옵션을 사용합니다.

  2. 방화벽을 다시 로드하여 새 규칙을 적용합니다.

    # firewall-cmd --reload

검증 단계

  • 방화벽 규칙을 나열합니다.

    # firewall-cmd --list-rich-rule
    rule family="ipv4" port port="111" protocol="tcp" source address="192.168.0.0/24" invert="True" drop
    rule family="ipv4" port port="111" protocol="tcp" source address="127.0.0.1" accept
    rule family="ipv4" port port="111" protocol="udp" source address="192.168.0.0/24" invert="True" drop

추가 리소스