[U-28(상)] 3. 서비스 관리 > 3.10 NIS, NIS+ 점검

JITSU 2025. 5. 1. 11:08

작업 환경

U-28 (상)	3. 서비스 관리 > 3.10 NIS, NIS+ 점검
취약점 개요
점검 내용	안전하지 않은 NIS 서비스의 비활성화, 안전한 NIS+ 서비스의 활성화 여부 점검
점검 목적	안전하지 않은 NIS 서비스를 비활성화 하고 안전한 NIS+ 서비스를 활성화 하여 시스템 보안수준을 향상하고자 함
보안 위협	보안상 취약한 서비스인 NIS를 사용하는 경우 비인가자가 타시스템의 root 권한 획득이 가능하므로 사용하지 않는 것이 가장 바람직하나 만약 NIS를 사용해야 하는 경우 사용자 정보보안에 많은 문제점을 내포하고 있는 NIS보다 NIS+를 사용하는 것을 권장
판단 기준	양호 : NIS 서비스가 비활성화 되어 있거나, 필요 시 NIS+를 사용하는 경우 취약 : NIS 서비스가 활성화 되어 있는 경우
참고	NIS 주 서버는 정보표를 소유하여 NIS 대응 파일들로 변환하고,이 대응 파일들이 네트워크를 통해 제공됨으로써 모든 컴퓨터에 정보가 갱신되도록 함. 네트워크를 통한 공유로부터 관리자와 사용자들에게 일관성 있는시스템 환경을 제공함

서비스 확인법

ps -ef | grep -E "ypserv|ypbind|ypxfrd|rpc.yppasswdd|rpc.ypupdated"

LINUX

Step 1) NFS 서비스 데몬 중지
- kill -9 [PID]
Step 2) 시동 스크립트 삭제 또는, 스크립트 이름 변경
- 위치 확인 : ls -al /etc/rc.d/rc*.d/* | grep -E "ypserv|ypbind|ypxfrd|rpc.yppasswdd|rpc.ypupdated"
- 이름 변경 : mv /etc/rc.d/rc2.d/S73ypbind /etc/rc.d/rc2.d/_S73ypbind

NIS의 핵심 기능

항목	설명
계정 통합	여러 리눅스 클라이언트의 /etc/passwd, /etc/group 정보를 중앙 서버에서 관리
호스트/서비스 관리	/etc/hosts, /etc/services 파일도 공유 가능
인증 관리	클라이언트는 로그인 시 NIS 서버로 사용자 정보 질의
구성	NIS 서버 + NIS 클라이언트 구조

동작 구조

→ 수백 대의 리눅스 서버 계정을 하나로 통제할 수 있음

왜 지금은 안 쓰나?

개선점	설명
데이터 전송 암호화	RPC 기반 → 보안성 향상
권한 제어 가능	테이블/도메인별 읽기·쓰기 권한 설정 가능
도메인 구조	계층적 도메인 구성 가능 (example.com → sub.example.com)

NIS+도 잘 안 씀

현대 대체 기술

대체 기술	설명
LDAP	Lightweight Directory Access Protocol (중앙 인증 시스템)
Kerberos	보안 인증 시스템 (티켓 기반, MIT 개발)
SSSD	클라이언트 인증 캐시 및 LDAP 통합 도구
Active Directory	윈도우 기반 LDAP + Kerberos 통합 시스템