리눅스마스터1급 : NFS 유틸리티와 보안

리눅스마스터1급 : NFS 유틸리티와 보안

1) NFS 유틸리티

NFS에서 제공되는 유틸리티로 showmount와 nfsstat, nhfsstone라는 프로그램이 있다

① showmount

mount 데몬에 NFS 서버에 대해 질의를 하여 사용중인 상태를 표시한다.

옵션 없이 showmount를 사용하게 되면, 해당 호스트에 접속한 사용자를 알 수 있다.

∙-a , --all : 클라이언트의 호스트 이름과 마운트된 디렉토리를 호스트:디렉토리 포맷으로 출력한다.

∙-d , --directories : 클라이언트에서 사용하는 디렉토리 이름만을 출력한다.

∙-e , --exports : NFS 서버의 export 항목의 리스트를 출력한다.

∙-h , --help : 간단한 도움말을 출력한다.

∙-v , --version : 현재 사용중인 showmount의 버전 정보를 출력한다.

∙--no-headers : 출력에서 요약 정보를 생략하고 출력한다.

② nfsstat

NFS 서버와 클라이언트의 동작 상태를 보여주는 유틸리티이다.

옵션은 다음과 같다.

∙-c : 클라이언트의 상태만을 보여주는 옵션이다.

∙-s : 서버측의 상태만을 보여주는 옵션이다.

∙-W : 넓은 포맷으로 출력을 조정하는 옵션으로 일반적으로 -c -s 옵션과 함께 사용된다.

∙-w : 일정한 지연 시간을 가지고 간단한 NFS 서버와 클라이언트의 상태를 보여주는 옵션이다.

③ nhfsstone

NFS를 벤치마킹하기 위한 프로그램인데, 시간당 부하의 수, 전송률, 실패율 등의 NFS에 관련된 데이터를 제공한다.

이 프로그램은 NFS를 벤치마킹하기 위해 만들어진 프로그램이기 때문에 다른 종류의 파일 시스템에 대해서는 적용할 수 없다.

옵션은 다음과 같다.

∙-v : 자세한 출력을 제공하는 옵션이다.

∙-t secs : 설정한 시간(초) 동안의 동작 시간과 부하를 보여준다.

∙-c : NFS에 발생시킬 요청의 총 개수이다.

∙-l : 초당 NFS 호출을 발생시킬 부하의 개수(기본 값은 30)이다.

이상의 유틸리티들을 적절히 활용하여 설정된 NFS의 상태를 모니터링하고 성능을 벤치마킹할 수 있다.

2) NFS 보안

NFS를 이용해 외부에 있는 하드를 자신의 하드처럼 사용할 수 있다는 것은 정말 편리한 일이다.

그러나 NFS가 네트워크를 기반으로 만들어졌기 때문에 보안적으로도 치명적인 부분이 있다.

NFS는 서버와 클라이언트 간에 신뢰를 가지고 구축해 나가는 것이다.

그런데 외부 침입자기 서버의 exports 파일을 볼 경우, 침입자는 자신의 머신에 nfs로 마운트를 하여 정보를 빼내갈 수 있다.

이런 문제를 막기 위해서는 위에서 설명한 여러 옵션들을 적절하게 설정해 주어야 한다.

일단 침입자가 마운트에 성공하면 침입자는 고의적으로 용량이 큰 파일을 빼가거나 집어넣음으로써 서버를 비롯한 클라이언트까지 네크워크에 부하를 주어 네트워크를 다운시킬 수도 있다.

관리자는 이러한 문제가 일어나지 않도록 exports파일을 잘 설정해야 한다.

기본적으로 hosts.deny에 rpc.mountd portmap을 모두 금지하여 주고, hosts.allow에 허용하고자 하는 호스트를 입력하여 최소한의 보안설정을 하여야 한다.