[U-40] NFS 접근 통제 (중요도 : 상)

★ 주요정보통신기반시설 가이드 [U-40] 유닉스/리눅스 보안 설정

항목 중요도 : 상 (공유 파일 시스템 보안 관리)

• 1. 항목 개요 및 보안 위협
• 2. [실습] OS별 NFS 설정 파일 및 접근 통제 조치
• 3. 법적 근거 및 관련 지침
• 4. 오늘 공부하며 정리한 핵심 포인트

 

1. 항목 개요 및 보안 위협

출처 : 2026 주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드

[ 점검 내용 ] : NFS 설정 파일인 /etc/exports 또는 /etc/dfs/dfstab 파일의 소유자와 권한을 보호하고, 공유 디렉터리에 접근할 수 있는 호스트를 특정하여 제한하고 있는지 점검합니다.

[ 보안 위협 ] : 접근 통제 설정 없이 모든 호스트(Anyone)에게 공유를 허용할 경우, 네트워크 내의 비인가자가 중요 데이터에 접근하여 정보를 유출하거나 변조할 수 있습니다. 또한 설정 파일 권한이 관리되지 않으면 공격자가 접근 허용 목록을 조작할 위험이 있습니다.

 

2. [실습] OS별 NFS 설정 파일 및 접근 통제 조치

■ SOLARIS / HP-UX (dfstab 방식)

Step 1~4) 파일 보호

# chown root /etc/dfs/dfstab
# chmod 644 /etc/dfs/dfstab

Step 5~6) 접근 제한 설정 및 적용

# vi /etc/dfs/dfstab
# 예시: 특정 클라이언트만 읽기/쓰기 허용
share -F nfs -o rw=client1:client2,ro=client1:client2 /export/home/example
# shareall (설정 적용)

■ LINUX / AIX (exports 방식)

Step 1~4) 파일 보호

# chown root /etc/exports
# chmod 644 /etc/exports

Step 5~6) 접근 제한 설정 및 적용

# vi /etc/exports
# 예시: /home/example host1(ro,root_squash)
# exportfs -ra (설정 적용)

[취약 결과 예시]

# cat /etc/exports
/home/example *(rw)
(모든 호스트(*)에 대해 읽기/쓰기 권한이 부여된 상태)

[양호 결과 예시]

# ls -l /etc/exports
-rw-r--r-- 1 root root ... /etc/exports
# cat /etc/exports
/home/example 192.168.1.10(ro)
(특정 호스트에 한해 제한된 권한만 부여된 상태)

 

3. 법적 근거 및 관련 지침

⚖️ 관련 법규 정보 (국가 법령 정보 센터)

• 정보통신기반보호법 제9조(취약점 분석·평가): 공유 서비스에 대한 호스트 접근 제한 및 권한 오설정 여부를 평가해야 합니다.
• 정보통신기반시설 보호지침 제16조(설정관리): 인가된 자만이 공유 자원에 접근할 수 있도록 네트워크 필터링 및 권한 설정을 유지해야 합니다.

 

4. 오늘 공부하며 정리한 핵심 포인트

• 와일드카드(*) 사용 금지: 편리함을 위해 모든 호스트를 허용하는 '*' 표기는 지양해야 합니다. 반드시 신뢰할 수 있는 특정 IP 주소나 호스트 네임을 명시해야 합니다.
• 동기화(sync) 및 보안 옵션: 가능하면 'ro'(읽기 전용)를 기본으로 하고, 'root_squash'(클라이언트 루트 권한을 익명 계정으로 매핑) 옵션을 함께 사용하여 서버의 루트 권한이 장악되는 것을 막아야 합니다.

다음 공부 기록 예고 : [U-41] 불필요한 automountd 제거 (중요도 : 상)