Pirmais un vissvarīgākais solis ceļā uz Linux serveru un sistēmu drošību ir novērst ļaunprātīgām pusēm no nevajadzīgas piekļuves. Pareiza lietotāja konta kontrole ir viens no daudzajiem veidiem, kā uzlabot sistēmas drošību.

Nostiprināts lietotāja konts neļauj sistēmai izmantot visizplatītākās horizontālās vai vertikālās privilēģiju eskalācijas uzbrukuma metodes. Tādējādi kā Linux sistēmas administrators jūs esat atbildīgs arī par sava servera aizsardzību, izmantojot efektīvas drošības metodes.

Šajā rakstā ir apskatīti daži pamata lietotāja konta drošības vadīklas, lai novērstu nevajadzīgu piekļuvi un novērstu iespējamās nepilnības sistēmas apdraudējuma dēļ.

1. Ierobežot piekļuvi saknes kontam

Pēc noklusējuma katra Linux sistēmas instalācija iestata saknes kontu, kas ir pieejams ikvienam no ārpuses, izmantojot SSH. Tomēr piekļuve saknes kontam, izmantojot SSH, vai vairāku lietotāju piekļuve sistēmā var izraisīt atteikuma problēmas.

Piemēram, uzbrucējs var izmantot brutālu spēku, lai pieteiktos kā root lietotājs un piekļūtu sistēmai.

instagram viewer

Lai ierobežotu nevajadzīgu root piekļuvi no Linux sistēmas iekšpuses/ārpuses, varat:

  • Pievienojiet citu lietotāju un piešķiriet tai root tiesības
  • Atspējot SSH root pieteikšanos

Izveidojiet jaunu superlietotāju

Uz piešķirt sudo vai root atļaujas parastajam Linux lietotāja kontam, pievienojiet lietotāju sudo grupēt šādi:

usermod -aG sudo lietotājvārds

Tagad pārslēdzieties uz lietotāja kontu, izmantojot komandu su, un pārbaudiet tā root tiesības, izdodot komandu, kas pieejama tikai saknes lietotājam:

su - lietotājvārds
sudo systemctl restartējiet sshd

Sudo atļauju iespējošana nodrošina dažas labas drošības priekšrocības, piemēram:

  • Jums nav nepieciešams koplietot root paroles ar parastajiem lietotājiem.
  • Tas palīdz pārbaudīt visas komandas, kuras izpilda parastie lietotāji, kas nozīmē, ka tajā tiek saglabāta informācija par komandu izpildi kas, kad un kur. /var/log/secure failu.
  • Turklāt jūs varat rediģēt /etc/sudoers failu, lai ierobežotu parasto lietotāju superlietotāju atļaujas. Jūs varat izmantot komandu su -l lai pārbaudītu pašreizējās lietotāja root atļaujas.

Atspējot Root SSH pieteikšanos

Lai sistēmā atspējotu root SSH piekļuvi, vispirms atveriet galveno konfigurācijas failu.

sudo vim /etc/ssh/sshd_config

Tagad noņemiet komentārus no šīs rindas, lai iestatītu saknes pieteikšanās atļaujas :

PermitRootLogin Nr

Saglabājiet failu un restartējiet sshd pakalpojumu, ierakstot:

sudo systemctl restartējiet sshd

Tagad, ikreiz, kad mēģināt sistēmā ievadīt SSH kā root lietotājs, jūs saņemsit šādu kļūdas ziņojumu:

Atļauja liegta, lūdzu, mēģiniet vēlreiz.

2. Kontiem iestatiet derīguma termiņus

Vēl viens efektīvs veids, kā kontrolēt nevajadzīgu piekļuvi, ir iestatīt derīguma termiņus kontiem, kas izveidoti pagaidu lietošanai.

Piemēram, ja praktikantam vai darbiniekam ir nepieciešama piekļuve sistēmai, konta izveides laikā varat iestatīt derīguma termiņu. Tas ir piesardzības pasākums, ja aizmirstat manuāli noņemt vai dzēst kontu pēc tam, kad lietotājs ir pametis organizāciju.

Izmantojiet chage komanda ar grep utilīta lai iegūtu informāciju par lietotāja konta derīguma termiņu:

chage -l lietotājvārds| grep konts

Izvade:

Konta derīguma termiņš beidzas: nekad

Kā parādīts iepriekš, tas neizvada derīguma termiņu. Tagad izmantojiet usermod komandu ar -e karodziņu, lai iestatītu derīguma termiņu GGGG-MM-DD formatējiet un pārbaudiet izmaiņas, izmantojot iepriekš minēto komandu chage.

usermod -e 2021-01-25 lietotājvārds
chage -l lietotājvārds| grep konts

3. Uzlabojiet konta paroles drošību

Stingras paroļu politikas ieviešana ir svarīgs lietotāju kontu drošības aspekts, jo vājas paroles ļauj uzbrucējiem viegli ielauzties jūsu sistēmās, izmantojot brutālu spēku, vārdnīcas vai varavīksnes tabulas uzbrukumi.

Viegli iegaumējamas paroles izvēle var sniegt zināmas ērtības, taču tā arī paver iespējas uzbrucējiem uzminēt paroles, izmantojot tiešsaistē pieejamos rīkus un vārdu sarakstus.

Iestatiet paroles derīguma termiņu

Turklāt Linux piedāvā dažas noklusējuma opcijas /etc/logins.defs failu, kas ļauj iestatīt konta paroles novecošanu. Izmantojiet chage komandu un grep paroles beigu informāciju šādi:

chage -l lietotājvārds | grep dienas
Mainīgie lielumi Noklusējuma vērtība Lietošana Ideālā vērtība
PASS_MAX_DAYS 9999 Noklusētais dienu skaits paroles izmantošanai, kas ir atkarīgs no jūsu konta iestatīšanas veida 40
PASS_MIN_DAYS 0 Neļauj lietotājiem nekavējoties mainīt paroli 5
PASS_MIN_LEN 5 Piespiež lietotājam iestatīt noteikta garuma paroles 15
PASS_WARN_AGE 0 Brīdina lietotāju nomainīt paroli, pirms tas ir spiests to darīt 7

Izmantotajiem kontiem paroles novecošanu varat kontrolēt, izmantojot chage komandu, lai iestatītu PASS_MAX_DAYS, PASS_MIN_DAYS un PASS_WARN_AGE uz 40, 5 un 7.

chage -M 40 -m 5 -W 7 lietotājvārds

Paroles jaucējkodoli

Vēl viens veids, kā nostiprināt konta paroles drošību, ir saglabāt paroļu jaucējus /etc/shadow failu. Hash ir vienvirziena matemātiskas funkcijas, kas izmanto paroli kā ievadi un izvada neatgriezenisku virkni.

Iepriekš Linux sistēmās ikreiz, kad lietotājs ievadīja savu paroli, lai pieteiktos, sistēma ģenerēja savu jaucējkodu un salīdzināja to ar paroli, kas tika saglabāta /etc/passwd failu.

Tomēr ir problēma ar passwd faila atļaujas piekļuvi, tas ir, ikviens, kam ir piekļuve sistēmai, var lasīt failu un uzlauzt jaucējfailu, izmantojot varavīksnes tabulas.

Tādējādi Linux tagad saglabā jaucējvērtības /etc/shadow failu ar šādu piekļuves atļauju kopu:

ls -l /etc/shadow
 1 saknes sakne 1626 7. janvāris 13:56 /etc/shadow

Joprojām ir iespējams instalēt Linux, izmantojot vecos jaucējpunktu glabāšanas veidus. Varat to mainīt, palaižot pwconv komandu, lai tā automātiski saglabātu paroles jaucējvārdus /etc/shadow failu. Tāpat varat iespējot citu metodi (/etc/passwd fails), izmantojot pwunconv komandu.

4. Noņemiet neizmantotos lietotāju kontus

Slikts dalībnieks var izmantot sistēmā neizmantotos kontus, kuriem beidzies derīguma termiņš, atjaunojot šo kontu un liekot tam izskatīties kā likumīgam lietotājam. Lai noņemtu neaktīvu kontu un saistītos datus ikreiz, kad lietotājs atstāj organizāciju, vispirms atrodiet visus ar lietotāju saistītos failus:

atrast / -lietotāja lietotājvārdu

Pēc tam atspējojiet kontu vai iestatiet derīguma termiņu, kā aprakstīts iepriekš. Neaizmirstiet dublēt lietotājam piederošos failus. Varat izvēlēties piešķirt failus jaunam īpašniekam vai noņemt tos no sistēmas.

Visbeidzot, izdzēsiet lietotāja kontu, izmantojot komandu userdel.

userdel -f lietotājvārds

5. Ierobežojiet attālo piekļuvi noteiktai lietotāju grupai

Ja savā Linux datorā mitināt tīmekļa serveri, iespējams, būs jāļauj tikai konkrētiem lietotājiem sistēmā piekļūt attālinātam SSH. OpenSSL ļauj ierobežot lietotājus, pārbaudot, vai viņi pieder noteiktai grupai.

Šim nolūkam izveidojiet lietotāju grupu ar nosaukumu ssh_gp, pievienojiet lietotājus, kuriem vēlaties piešķirt grupai attālo piekļuvi, un uzskaitiet lietotāju grupas informāciju šādi:

sudo groupadd ssh_gp
sudo gpasswd - lietotājvārds ssh_gp
grupu lietotājvārds

Tagad atveriet OpenSSL galveno konfigurācijas failu, lai iekļautu atļauto lietotāju grupu ssh_gp.

sudo vim /etc/ssh/sshd_config
AllowGroups ssh_gp

Neaizmirstiet noņemt rindiņas komentārus, lai nodrošinātu veiksmīgu iekļaušanu grupā. Kad esat pabeidzis, saglabājiet un izejiet no faila un restartējiet pakalpojumu:

sudo systemctl restartējiet sshd

Lietotāja konta drošības uzturēšana operētājsistēmā Linux

Mūsdienās lielākā daļa organizāciju mitina kritiskās infrastruktūras, piemēram, tīmekļa serverus, ugunsmūrus un datu bāzes Linux, un jebkura iekšējā komponenta kompromitēšana rada būtiskus draudus visam infrastruktūra.

Ņemot vērā iestatīšanas nozīmi, lietotāju kontu pārvaldība un nodrošināšana ir galvenais izaicinājums, ar ko saskaras Linux administratori. Šajā rakstā ir uzskaitīti daži drošības pasākumi, kas konta administratoram jāveic, lai aizsargātu sistēmu pret iespējamiem apdraudējumiem, ko rada neaizsargāti lietotāju konti.

Pilnīga lietotāja pārvaldības rokasgrāmata operētājsistēmā Linux

Lietotāju pārvaldība ir būtisks uzdevums, kas jāpārzina katram Linux sistēmas administratoram. Šeit ir galvenā Linux lietotāju pārvaldības rokasgrāmata.

Lasiet Tālāk

DalītiesČivinātE-pasts
Saistītās tēmas
  • Linux
  • Drošība
  • Lietotāja konta kontrole
  • Drošība
  • Drošības padomi
Par autoru
Rumaisa Niazi (Publicēti 8 raksti)

Rumaisa ir MUO ārštata rakstniece. Viņa ir nēsājusi daudzas cepures, sākot no matemātiķes līdz informācijas drošības entuziastei, un tagad strādā par SOC analītiķi. Viņas interesēs ir lasīt un rakstīt par jaunām tehnoloģijām, Linux izplatīšanu un jebko, kas saistīts ar informācijas drošību.

Vairāk no Rumaisa Niazi

Abonējiet mūsu biļetenu

Pievienojieties mūsu informatīvajam izdevumam, lai saņemtu tehniskos padomus, pārskatus, bezmaksas e-grāmatas un ekskluzīvus piedāvājumus!

Noklikšķiniet šeit, lai abonētu