Први и најважнији корак ка обезбеђењу Линук сервера и система је спречавање злонамерних страна од непотребног приступа. Правилна контрола корисничког налога је један од многих начина да побољшате безбедност вашег система.
Ојачани кориснички налог спречава систем од најчешћих метода напада хоризонталне или вертикалне ескалације привилегија. Стога, као администратор система Линук, такође сте одговорни за заштиту вашег сервера помоћу ефикасних безбедносних техника.
Овај чланак покрива неке основне безбедносне контроле корисничког налога како би се спречио непотребан приступ и поправиле могуће рупе за компромитовање система.
1. Ограничите приступ роот налогу
Подразумевано, свака инсталација Линук система поставља роот налог који је доступан свима споља преко ССХ-а. Међутим, приступ основном налогу преко ССХ-а или приступ вишеструким корисницима унутар система може изазвати проблеме са одбијањем.
На пример, нападач може грубом силом да се пријави као роот корисник и добије приступ систему.
Да бисте ограничили непотребан роот приступ унутар/ван Линук система, можете:
- Додајте другог корисника и доделите му роот привилегије
- Онемогућите ССХ роот пријаву
Креирајте новог суперкорисника
До додели судо или роот дозволе на обичан Линук кориснички налог, додајте корисника у судо груписати на следећи начин:
усермод -аГ судо корисничко имеСада пређите на кориснички налог помоћу команде су и проверите његове привилегије роот издавањем команде која је доступна само роот кориснику:
су - корисничко име
судо системцтл рестарт ссхдОмогућавање судо дозвола пружа неке добре безбедносне предности, као што су:
- Не морате да делите роот лозинке са редовним корисницима.
- Помаже вам да проверите све команде које покрећу редовни корисници, што значи да чува детаље ко, када и где о извршавању команде у /var/log/secure фајл.
- Осим тога, можете уредити /etc/sudoers датотеку да бисте ограничили дозволе суперкорисника редовних корисника. Можете користити команду су -л да проверите тренутне роот дозволе корисника.
Онемогућите Роот ССХ пријаву
Да бисте онемогућили роот ССХ приступ на вашем систему, прво отворите главну конфигурациону датотеку.
судо вим /етц/ссх/ссхд_цонфигСада декоментирајте следећи ред да бисте поставили роот дозволе за пријаву не:
ПермитРоотЛогин брСачувајте датотеку и поново покрените ссхд сервис тако што ћете уписати:
судо системцтл рестарт ссхдСада, кад год покушате да ССХ у систем као роот корисник, добићете следећу поруку о грешци:
Дозвола је одбијена, покушајте поново.2. Подесите датуме истека на налозима
Још један ефикасан начин контроле непотребног приступа је постављање датума истека на налозима креираним за привремену употребу.
На пример, ако приправнику или запосленом треба приступ систему, можете подесити датум истека током креирања налога. То је мера предострожности у случају да заборавите да ручно уклоните или избришете налог након што напусте организацију.
Користити промена команда са услужни програм греп да преузмете детаље о истеку налога за корисника:
промени -л корисничко име| греп налог
Излаз:
Налог истиче: никадКао што је горе приказано, не исписује датум истека. Сада користите усермод команда са -е заставицу за постављање датума истека у ГГГГ-ММ-ДД форматирајте и проверите промену користећи горњу команду цханге.
усермод -е 2021-01-25 корисничко име
промени -л корисничко име| греп налог3. Побољшајте безбедност лозинке налога
Спровођење политике јаке лозинке је важан аспект заштите корисничких налога, јер слабе лозинке омогућавају нападачима да лако провале у ваше системе преко насилно, речник или напади на табелу дуге.
Одабир лозинке која се лако памти може понудити одређену погодност, али такође отвара могућности за нападаче да погоде лозинке уз помоћ доступних алата и спискова речи на мрежи.
Подесите датум истека лозинке
Штавише, Линук нуди неке подразумеване опције унутра /etc/logins.defs датотеку која вам омогућава да подесите старење лозинке налога. Користити промена команду и греп детаље о истеку лозинке на следећи начин:
промени -л корисничко име | греп дана| Променљиве | Задана вриједност | Употреба | Идеална вредност |
|---|---|---|---|
| ПАСС_МАКС_ДАИС | 9999 | Подразумевани број дана за коришћење лозинке који зависи од типа подешавања вашег налога | 40 |
| ПАСС_МИН_ДАИС | 0 | Спречава кориснике да одмах промене своју лозинку | 5 |
| ПАСС_МИН_ЛЕН | 5 | Присиљава корисника да постави лозинке одређене дужине | 15 |
| ПАСС_ВАРН_АГЕ | 0 | Упозорава корисника да промени лозинку пре него што буде приморан да то уради | 7 |
За налоге у употреби, можете контролисати старење лозинке уз помоћ промена команда за постављање ПАСС_МАКС_ДАИС, ПАСС_МИН_ДАИС и ПАСС_ВАРН_АГЕ на 40, 5 и 7.
промени -М 40 -м 5 -В 7 корисничко имеХешови лозинки
Други начин да се ојача сигурност лозинке налога је да се унутра чувају хешови лозинке датотеку /етц/схадов. Хешови су једносмерне математичке функције које узимају лозинку као улаз и излазе нереверзибилни стринг.
Раније, на Линук системима, сваки пут када је корисник унео своју лозинку да би се пријавио, систем је генерисао свој хеш и унакрсно га проверавао са оном сачуваном у /etc/passwd фајл.
Међутим, постоји проблем са приступом дозволе пассвд фајлу, то јест, свако ко има системски приступ може да прочита датотеку и разбије хеш помоћу дугиних табела.
Дакле, Линук сада чува хешове унутар /etc/shadow датотека са следећим скупом дозвола за приступ:
лс -л /етц/схадов
1 роот роот 1626 Јан 7 13:56 /етц/схадовЈош увек је могуће да инсталирате Линук са старим начинима складиштења хешева. То можете да измените тако што ћете покренути пвцонв команду, тако да ће аутоматски сачувати хеш лозинке у /etc/shadow фајл. Слично томе, можете омогућити други метод (/etc/passwd фајл) помоћу пвунцонв команда.
4. Уклоните неискоришћене корисничке налоге
Лош актер може да искористи некоришћене и истекле налоге у систему, тако што ће обновити тај налог и учинити га да изгледа као легитиман корисник. Да бисте уклонили неактиван налог и повезане податке сваки пут када корисник напусти организацију, прво пронађите све датотеке које се односе на корисника:
пронађи / -корисничко корисничко имеЗатим онемогућите налог или поставите датум истека као што је горе објашњено. Не заборавите да направите резервну копију датотека које поседује корисник. Можете изабрати да доделите датотеке новом власнику или да их уклоните из система.
На крају, избришите кориснички налог помоћу команде усердел.
усердел -ф корисничко име5. Ограничите даљински приступ на одређену корисничку групу
Ако хостујете веб сервер на вашој Линук машини, можда ћете морати да дозволите само одређеним корисницима да удаљени ССХ у систем. ОпенССЛ вам омогућава да ограничите кориснике унакрсном провером да ли припадају одређеној групи.
За то креирајте корисничку групу под називом ссх_гп, додајте кориснике којима желите да одобрите даљински приступ групи и наведите информације о групи корисника на следећи начин:
судо гроупадд ссх_гп
судо гпассвд - корисничко име ссх_гп
групе корисничко имеСада отворите главну конфигурациону датотеку ОпенССЛ да бисте укључили дозвољену корисничку групу ссх_гп.
судо вим /етц/ссх/ссхд_цонфиг
АлловГроупс ссх_гпНе заборавите да скинете коментар са линије да бисте осигурали успешно укључивање у групу. Када завршите, сачувајте и изађите из датотеке и поново покрените услугу:
судо системцтл рестарт ссхдОдржавање безбедности корисничког налога на Линук-у
Данас већина организација угошћује критичне инфраструктуре као што су веб сервери, заштитни зидови и базе података Линук, а компромис било које унутрашње компоненте представља значајну претњу за целину инфраструктуре.
С обзиром на важност подешавања, управљање и обезбеђење корисничких налога је фундаментални изазов са којим се суочавају Линук администратори. У овом чланку су наведене неке безбедносне мере које администратор налога мора да предузме да би заштитио систем од потенцијалних претњи услед незаштићених корисничких налога.
Управљање корисницима је кључни задатак у којем би сваки Линук систем администратор требао да буде вешт. Ево коначног водича за управљање корисницима за Линук.
Реад Нект
- Линук
- Безбедност
- Контрола корисничког налога
- Безбедност
- Безбедносни савети
Румаиса је слободни писац у МУО. Носила је много шешира, од математичара до ентузијасте информационе безбедности, а сада ради као аналитичар СПЦ. Њена интересовања укључују читање и писање о новим технологијама, дистрибуцијама Линука и било чему око информационе безбедности.
Претплатите се на наш билтен
Придружите се нашем билтену за техничке савете, рецензије, бесплатне е-књиге и ексклузивне понуде!
Кликните овде да бисте се претплатили
