[Linux보안설정] 서비스 관리 ②

OS : Rocky Linux 9

 

 

U-41. NFS 접근 통제

NFS 사용할 경우 허가된 사용자만 접속할 수 있는지 점검

 

# vi /etc/exports

NFS 세팅은 다음과 같이 입력한다.

[path] [client ip]([option)]

option에 설정할 수 있는 값은 다음과 같다.

option 종류 (*은 기본값)
ro : 읽기 전용*
rw : 읽기 쓰기
root_squash : client의 root를 익명 사용자(nobody)로 매핑*
no_root_squash : client의 root를 nfs 서버의 root로 매핑
all_squash : 모든 사용자를 익명 사용자로 매핑
sync : client와 nfs서버간 동기적 통신 모드(안정성 우수)*
async : client와 nfs서버간 비동기 통신 모드(속도 우수)
secure : 마운트 요청 시 포트를 1024 이하로 할당 허용(2014이하 포트는 root만 설정 가능)*
insecure : 마운트 요청 시 1024번 이후 포트도 할당 허용

 

 

U-42. automountd 제거

automountd 서비스가 실행중인지 점검

# ps -ef | grep automount

 

 

U-43. RPC 서비스 확인

RPC 관련 서비스가 실행중인지 점검

 

점검 필요한 RPC 서비스는 다음과 같다.

rpcbind / rpcbind.socket / nfs-server / rpc-statd / rpc-gssd / rpc-svcgssd / nfs-idmapd

 

실행 여부를 점검한다.

# systemctl status rpcbind rpcbind.socket nfs-server rpc-statd rpc-gssd rpc-svcgssd nfs-idmapd
# netstat -lntup | egrep 'rpcbind|nfs|mountd|statd|gssd'

 

 

U-44. NIS, NIS+ 점검

NIS 서비스가 실행중인지 점검 NIS 를 사용해야 하는 경우 NIS+ 를 사용

 

Rocky Linux 9 에서는 기본적으로 사용하지 않는 서비스이므로 설치 여부를 확인한다.

# rpm -qa ypserv ypbind yp-tools nss_nis

 

 

U-45. tftp, talk 서비스 비활성화

tftp, talk 서비스가 활성화 되어있는지 점검

# ps -ef | egrep "tftp|talk"

 

 

U-46. Sendmail 버전 점검

Sendmail 사용 시 취약점이 없는 버전으로 사용하는지 점검

 

먼저 Sendmail 서비스 실행 중인지 점검한다.

# ps -ef | grep sendmail

 

실행 중이라면 버전 점검한다.

# rpm -qa | grep sendmail
# sendmail -v

 

 

U-47. 스팸 메일 릴레이 제한

릴레이 기능을 제한하는지 점검

 

릴레이 제한을 하지 않을 경우 스팸 메일 발송으로 악용될 수 있다.

 

외부에서 릴레이 제한이 되어있는지 테스트 한다.

swaks --to test-recipient@gmail.com \
      --from fake-sender@external-domain.com \
      --server <SMTP서버도메인또는IP> \
      --port 25

 

 

U-48. 일반사용자의 Sendmail 실행 방지

sendmail 사용 시 설정파일에 restrictqrun 옵션이 있는지 점검

 

# vi /etc/mail/sendmail.cf

O PrivacyOptions=authwarnings, novrfy, noexpn, restrictqrun