Prvi in najpomembnejši korak k varovanju strežnikov in sistemov Linux je preprečevanje nezaželenega dostopa zlonamernim osebam. Ustrezen nadzor uporabniškega računa je eden od mnogih načinov za izboljšanje varnosti vašega sistema.
Utrjen uporabniški račun preprečuje sistemu najpogostejše metode napada horizontalnega ali vertikalnega stopnjevanja privilegijev. Zato ste kot skrbnik sistema Linux odgovorni tudi za zaščito svojega strežnika z učinkovitimi varnostnimi tehnikami.
Ta članek pokriva nekaj osnovnih varnostnih nadzorov uporabniškega računa za preprečevanje nepotrebnega dostopa in odpravljanje morebitnih vrzeli za ogrožanje sistema.
1. Omejite dostop do korenskega računa
Vsaka namestitev sistema Linux privzeto nastavi korenski račun, ki je dostopen vsem od zunaj prek SSH. Vendar pa lahko dostop do korenskega računa prek SSH ali dostop več uporabnikov znotraj sistema povzroči težave z zavrnitvijo.
Napadalec se lahko na primer s surovo silo prijavi kot root uporabnik in dobi dostop do sistema.
Če želite omejiti nepotreben korenski dostop znotraj/zunaj sistema Linux, lahko:
- Dodajte drugega uporabnika in mu dodelite root privilegije
- Onemogoči korensko prijavo SSH
Ustvarite novega superuporabnika
Za dodelite sudo ali root dovoljenja v običajni uporabniški račun za Linux, dodajte uporabnika v sudo skupina, kot sledi:
usermod -aG sudo uporabniško imeZdaj preklopite na uporabniški račun z ukazom su in preverite njegove korenske pravice z izdajo ukaza, ki je dostopen samo uporabniku root:
su - uporabniško ime
sudo systemctl znova zaženi sshdOmogočanje dovoljenj sudo zagotavlja nekaj dobrih varnostnih prednosti, kot so:
- Ni vam treba deliti root gesel z običajnimi uporabniki.
- Pomaga vam preveriti vse ukaze, ki jih izvajajo običajni uporabniki, kar pomeni, da shranjuje podatke o izvajanju ukazov kdo, kdaj in kje v /var/log/secure mapa.
- Poleg tega lahko urejate /etc/sudoers datoteko, da omejite dovoljenja superuporabnika običajnih uporabnikov. Lahko uporabite ukaz su -l za preverjanje trenutnih korenskih pravic uporabnika.
Onemogoči Root SSH prijavo
Če želite onemogočiti dostop korenskega SSH v vašem sistemu, najprej odprite glavno konfiguracijsko datoteko.
sudo vim /etc/ssh/sshd_configZdaj odstranite komentar iz naslednje vrstice, da nastavite korenska dovoljenja za prijavo št:
PermitRootLogin štShranite datoteko in znova zaženite sshd storitev tako, da vnesete:
sudo systemctl znova zaženi sshdZdaj, ko poskušate SSH v sistem kot root uporabnik, boste prejeli naslednje sporočilo o napaki:
Dovoljenje je zavrnjeno, poskusite znova.2. Nastavite datume poteka na računih
Drug učinkovit način za nadzor nepotrebnega dostopa je nastavitev datumov poteka za račune, ustvarjene za začasno uporabo.
Če na primer pripravnik ali zaposleni potrebuje dostop do sistema, lahko med ustvarjanjem računa nastavite datum poteka. To je previdnostni ukrep, če pozabite ročno odstraniti ali izbrisati račun, potem ko zapustijo organizacijo.
Uporabi sprememba ukaz z pripomoček grep za pridobitev podrobnosti o poteku računa za uporabnika:
spremeni -l uporabniško ime| grep račun
Izhod:
Račun poteče: nikoliKot je prikazano zgoraj, ne izpiše datuma poteka. Zdaj uporabite uporabniški mod ukaz z -e zastavico, da nastavite datum poteka v LLLL-MM-DD formatirajte in preverite spremembo z zgornjim ukazom chage.
usermod -e 2021-01-25 uporabniško ime
spremeni -l uporabniško ime| grep račun3. Izboljšajte varnost gesla za račun
Uveljavljanje politike močnih gesel je pomemben vidik zaščite uporabniških računov, saj šibka gesla omogočajo napadalcem, da zlahka vdrejo v vaše sisteme prek brutalna silanapade na, slovar ali mavrično tabelo.
Izbira gesla, ki si ga je enostavno zapomniti, je lahko nekaj udobja, vendar pa odpira tudi možnosti za napadalce, da ugibajo gesla s pomočjo spletnih orodij in seznamov besed.
Nastavite datum poteka gesla
Poleg tega Linux ponuja nekaj privzetih možnosti znotraj /etc/logins.defs datoteko, ki omogoča nastavitev staranja gesla računa. Uporabi sprememba ukaz in grep podrobnosti o poteku gesla, kot sledi:
spremeni -l uporabniško ime | grep dni| spremenljivke | Privzeta vrednost | Uporaba | Idealna vrednost |
|---|---|---|---|
| PASS_MAX_DAYS | 9999 | Privzeto število dni za uporabo gesla, ki je odvisno od vrste nastavitve vašega računa | 40 |
| PASS_MIN_DAYS | 0 | Uporabnikom preprečuje takojšnjo spremembo gesla | 5 |
| PASS_MIN_LEN | 5 | Prisili uporabnika, da nastavi gesla določene dolžine | 15 |
| PASS_WARN_AGE | 0 | Opozori uporabnika, naj spremeni geslo, preden je prisiljen v to | 7 |
Za račune v uporabi lahko nadzorujete staranje gesla s pomočjo sprememba ukaz za nastavitev PASS_MAX_DAYS, PASS_MIN_DAYS in PASS_WARN_AGE na 40, 5 in 7.
spremeni -M 40 -m 5 -W 7 uporabniško imeHashes gesla
Drug način za okrepitev varnosti gesla računa je shranjevanje zgoščenih gesel v notranjosti datoteko /etc/shadow. Haši so enosmerne matematične funkcije, ki vzamejo geslo kot vhod in izpišejo nepovratni niz.
Prej, ko je uporabnik v sistemih Linux vnesel svoje geslo za prijavo, je sistem ustvaril svoj hash in ga navzkrižno preveril s tistim, ki je shranjen v /etc/passwd mapa.
Vendar pa obstaja težava z dovoljenjem za dostop do datoteke passwd, to pomeni, da lahko vsakdo s sistemskim dostopom prebere datoteko in razbije hash z mavričnimi tabelami.
Zato Linux zdaj shranjuje zgoščenke znotraj datoteke /etc/shadow datoteko z naslednjim naborom dovoljenj za dostop:
ls -l /etc/shadow
1 korenski koren 1626 7. januar 13:56 /etc/shadowŠe vedno lahko namestite Linux s starimi načini shranjevanja hashov. To lahko spremenite tako, da zaženete pwconv ukaz, tako da bo samodejno shranil zgoščenke gesla v /etc/shadow mapa. Podobno lahko omogočite drugo metodo (/etc/passwd datoteko) z uporabo pwunconv ukaz.
4. Odstranite neuporabljene uporabniške račune
Slab akter lahko izkoristi neuporabljene in potekle račune v sistemu, tako da ta račun obnovi in naredi videti kot zakonit uporabnik. Če želite odstraniti neaktiven račun in povezane podatke, ko uporabnik zapusti organizacijo, najprej poiščite vse datoteke, povezane z uporabnikom:
najde / -uporabniško uporabniško imeNato onemogočite račun ali nastavite datum poteka, kot je opisano zgoraj. Ne pozabite varnostno kopirati datotek, ki so v lasti uporabnika. Datoteke lahko dodelite novemu lastniku ali jih odstranite iz sistema.
Na koncu izbrišite uporabniški račun z ukazom userdel.
userdel -f uporabniško ime5. Omejite oddaljeni dostop na določeno skupino uporabnikov
Če na svojem računalniku Linux gostite spletni strežnik, boste morda morali dovoliti samo določenim uporabnikom oddaljeni SSH v sistem. OpenSSL vam omogoča, da omejite uporabnike z navzkrižnim preverjanjem, ali pripadajo določeni skupini.
Za to ustvarite uporabniško skupino z imenom ssh_gp, dodajte uporabnike, ki jim želite omogočiti oddaljeni dostop v skupino, in navedite informacije o skupini uporabnikov, kot sledi:
sudo groupadd ssh_gp
sudo gpasswd -uporabniško ime ssh_gp
uporabniško ime skupineZdaj odprite glavno konfiguracijsko datoteko OpenSSL, da vključite dovoljeno skupino uporabnikov ssh_gp.
sudo vim /etc/ssh/sshd_config
AllowGroups ssh_gpNe pozabite odstraniti komentarja iz vrstice, da zagotovite uspešno vključitev v skupino. Ko končate, shranite in zaprite datoteko ter znova zaženite storitev:
sudo systemctl znova zaženi sshdVzdrževanje varnosti uporabniškega računa v Linuxu
Dandanes večina organizacij gosti kritične infrastrukture, kot so spletni strežniki, požarni zidovi in baze podatkov Linux in kompromis katere koli notranje komponente predstavlja veliko grožnjo za celoto infrastrukture.
Glede na pomembnost nastavitve je upravljanje in varovanje uporabniških računov temeljni izziv, s katerim se soočajo skrbniki Linuxa. V tem članku so navedeni nekateri varnostni ukrepi, ki jih mora skrbnik računa sprejeti za zaščito sistema pred morebitnimi grožnjami zaradi nezaščitenih uporabniških računov.
Upravljanje uporabnikov je ključna naloga, ki bi jo moral biti usposobljen vsak sistemski administrator Linuxa. Tukaj je končni vodnik za upravljanje uporabnikov za Linux.
Preberite Naprej
- Linux
- Varnost
- Nadzor uporabniškega računa
- Varnost
- Varnostni nasveti
Rumaisa je svobodna pisateljica pri MUO. Nosila je veliko klobukov, od matematike do navdušenca za informacijsko varnost, zdaj pa dela kot analitik SOC. Njena zanimanja vključujejo branje in pisanje o novih tehnologijah, distribucijah Linuxa in karkoli v zvezi z informacijsko varnostjo.
Naročite se na naše novice
Pridružite se našemu glasilu za tehnične nasvete, ocene, brezplačne e-knjige in ekskluzivne ponudbe!
Kliknite tukaj, da se naročite