Security/리눅스 취약점 진단
[U-24] 3.6 NFS 서비스 비활성화 점검 스크립트
2er0127
2023. 8. 9. 23:20
| U-24 (상) | 3. 서비스 관리 > 3.6 NFS 서비스 비활성화 |
| 취약점 개요 | |
| 점검 내용 | 불필요한 NFS 서비스 사용여부 점검 |
| 점검 목적 | NFS(Network File System) 서비스는 한 서버의 파일을 많은 서비스 서버들 이 공유하여 사용할 때 많이 이용되는 서비스이지만 이를 이용한 침해사고 위험성이 높으므로 사용하지 않는 경우 중지함 |
| 보안 위협 | NFS 서비스는 서버의 디스크를 클라이언트와 공유하는 서비스로 적정한 보 안설정이 적용되어 있지 않다면 불필요한 파일 공유로 인한 유출위험이 있음 |
| 참고 | ※ NFS(Network File System): 원격 컴퓨터의 파일시스템을 로컬 시스템에 마운트하여 마 치 로컬 파일시스템처럼 사용할 수 있는 프로그램임 ※ NFS 서비스 사용은 원칙적으로 금지되어 있지만 불가피하게 필요한 경우 U-25(상) 항 목을 참조하여 통제해야함 |
| 점검 대상 및 판단 기준 | |
| 대상 | SOLARIS, Linux, AIX, HP-UX 등 |
| 판단 기준 | 양호 : 불필요한 NFS 서비스 관련 데몬이 비활성화 되어 있는 경우 |
| 취약 : 불필요한 NFS 서비스 관련 데몬이 활성화 되어 있는 경우 | |
| 조치 방법 | 사용하지 않는다면 NFS 서비스 중지 아래의 방법으로 NFS 서비스를 제거한 후 시스템 부팅 시, 스크립트 실행 방지 가능 1. /etc/dfs/dfstab(또는 /etx/exports)의 모든 공유 제거 2. NFS 데몬(nfsd, statd, mountd) 중지 3. 시동 스크립트 삭제 또는, 스크립트 이름 변경 |
진단 스크립트 작성
#!/bin/sh
LANG=C
export LANG
alias ls=ls
CREATE_FILE=`hostname`"-"`date +%m%d`.txt
# root check
if [ "$EUID" -ne 0 ]
then
echo "root 권한이 필요합니다."
exit
fi
echo "====================================================" >> $CREATE_FILE 2>&1
echo "* linux_script version0.1 *" >> $CREATE_FILE 2>&1
echo "====================================================" >> $CREATE_FILE 2>&1
echo " " >> $CREATE_FILE 2>&1
echo "---------------------start time---------------------" >> $CREATE_FILE 2>&1
date >> $CREATE_FILE 2>&1
echo "----------------------------------------------------" >> $CREATE_FILE 2>&1
cat /etc/redhat-release >> $CREATE_FILE 2>&1
echo " " >> $CREATE_FILE 2>&1
echo "####################################################" >> $CREATE_FILE 2>&1
echo " " >> $CREATE_FILE 2>&1
echo "[U-24] 3.6 NFS 서비스 비활성화" >> $CREATE_FILE 2>&1
echo "[양호] 불필요한 NFS 서비스 관련 데몬이 비활성화 되어 있는 경우" >> $CREATE_FILE 2>&1
echo "[취약] 불필요한 NFS 서비스 관련 데몬이 활성화 되어 있는 경우" >> $CREATE_FILE 2>&1
echo " " >> $CREATE_FILE 2>&1
echo "=======================진단 결과=======================" >> $CREATE_FILE 2>&1
TMPFILE=$(mktemp)
echo `service nfs status | grep running` >> $TMPFILE 2>&1
FILESIZE=$(wc -c "$TMPFILE" | awk '{print $1}')
if [ $FILESIZE -gt 1 ]
then
echo "[취약] NFS 서비스 관련 데몬이 활성화 되어 있습니다." >> $CREATE_FILE 2>&1
else
echo "[양호] NFS 서비스 관련 데몬이 비활성화 되어 있습니다." >> $CREATE_FILE 2>&1
fi
echo " " >> $CREATE_FILE 2>&1
https://github.com/2er0127/linux-vuln-chk-script
GitHub - 2er0127/linux-vuln-chk-script: Red Hat Enterprise Linux Server release 6.10 Vulnerability Check Script
Red Hat Enterprise Linux Server release 6.10 Vulnerability Check Script - GitHub - 2er0127/linux-vuln-chk-script: Red Hat Enterprise Linux Server release 6.10 Vulnerability Check Script
github.com
728x90