[U-39] 불필요한 NFS 서비스 비활성화 (중요도 : 상)

★ 주요정보통신기반시설 가이드 [U-39] 유닉스/리눅스 보안 설정

항목 중요도 : 상 (네트워크 파일 공유 보안 강화)

• 1. 항목 개요 및 보안 위협
• 2. [실습] OS별 NFS 서비스 비활성화 조치
• 3. 법적 근거 및 관련 지침
• 4. 오늘 공부하며 정리한 핵심 포인트

 

1. 항목 개요 및 보안 위협

출처 : 2026 주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드

[ 점검 내용 ] : 시스템 운영에 불필요한 NFS(Network File System) 관련 서비스 데몬이 활성화되어 있는지 점검하고 비활성화합니다.

[ 보안 위협 ] : NFS는 설정이 복잡하고 인증 절차가 미흡한 경우가 많아, 공격자가 원격에서 공유된 디렉터리를 마운트하여 데이터를 탈취하거나 임의의 파일을 업로드하여 시스템 권한을 획득할 수 있는 고위험 서비스입니다.

 

2. [실습] OS별 NFS 서비스 비활성화 조치

■ SOLARIS

# 1. NFS 서비스 데몬 활성화 확인
# inetadm | egrep "nfs|statd|lockd"

# 2. 불필요한 서비스 데몬 중지
# inetadm -d <중지하고자 하는 서비스 데몬>

■ LINUX

# 1. NFS 서비스 활성화 여부 확인
# systemctl list-units --type=service | grep nfs

# 2. 서비스 중지 및 비활성화
# systemctl stop <서비스명>
# systemctl disable <서비스명>

■ AIX

# 1. 서비스 중지
# stopsrc -g nfs

# 2. 시동 스크립트 비활성화
# mv /etc/rc.d/rc2.d/S60nfs /etc/rc.d/rc2.d/_S60nfs

# 3. inittab 수정 (주석 처리)
# vi /etc/inittab
#rcnfs:23456789:wait:/etc/rc.nfs > /dev/console
# init q

■ HP-UX

# 1. 프로세스 확인 및 종료
# ps -ef | grep -E "nfsd|statd|lockd"
# kill -9 <PID>

# 2. 설정 파일 수정
# vi /etc/rc.config.d/nfsconf
NFS_SERVER=0

[취약 결과 예시]

# ps -ef | grep nfsd
root  2412  1  0 Feb09 ? 00:00:00 [nfsd]
(불필요한 NFS 데몬이 현재 동작 중인 상태)

[양호 결과 예시]

# ps -ef | grep nfsd
(결과 없음)
NFS 서비스와 관련된 nfsd, statd, lockd 데몬이 모두 중지된 상태

 

3. 법적 근거 및 관련 지침

⚖️ 관련 법규 정보 (국가 법령 정보 센터)

• 정보통신기반보호법 제9조(취약점 분석·평가): 국가 기반시설의 정보 공유 서비스에 대한 보안 취약점 점검 의무를 규정합니다.
• 정보통신기반시설 보호지침 제16조(설정관리): 불필요한 서비스 및 프로토콜의 제거를 통한 시스템 최적화를 명시합니다.

 

4. 오늘 공부하며 정리한 핵심 포인트

• 관련 데몬 세트: NFS 점검 시에는 `nfsd` 뿐만 아니라 상태 관리를 돕는 `statd`, 파일 잠금을 제어하는 `lockd` 데몬도 함께 비활성화해야 완벽한 조치가 됩니다.
• 영구적 비활성화: 현재 프로세스를 죽이는(`kill`) 것만으로는 부족합니다. 재부팅 시 다시 실행되지 않도록 시동 스크립트나 `systemctl disable` 설정을 반드시 병행해야 합니다.

다음 공부 기록 예고 : [U-40] NFS 접근 통제 (중요도 : 상)