Pirmasis ir svarbiausias žingsnis siekiant apsaugoti „Linux“ serverius ir sistemas yra užkirsti kelią kenkėjiškoms šalims nuo nereikalingos prieigos. Tinkamas vartotojo abonemento valdymas yra vienas iš daugelio būdų padidinti sistemos saugumą.
Sustiprinta vartotojo abonementas apsaugo sistemą nuo labiausiai paplitusių atakų metodų – horizontalaus arba vertikaliojo privilegijų eskalavimo. Taigi, kaip „Linux“ sistemos administratorius, jūs taip pat esate atsakingas už savo serverio apsaugą naudojant efektyvius saugos metodus.
Šiame straipsnyje aptariami kai kurie pagrindiniai vartotojo abonemento saugos valdikliai, siekiant užkirsti kelią nereikalingai prieigai ir ištaisyti galimas spragas dėl sistemos pavojaus.
1. Apriboti prieigą prie pagrindinės paskyros
Pagal numatytuosius nustatymus kiekvienas „Linux“ sistemos diegimas nustato šakninę paskyrą, prieinamą visiems iš išorės per SSH. Tačiau prieiga prie šakninės paskyros per SSH arba kelių vartotojų prieiga sistemoje gali sukelti atsisakymo problemų.
Pavyzdžiui, užpuolikas gali panaudoti žiaurią jėgą prisijungti kaip root naudotojas ir gauti prieigą prie sistemos.
Norėdami apriboti nereikalingą root prieigą iš Linux sistemos vidaus / išorės, galite:
- Pridėti kitą vartotoją ir suteikti jam root teises
- Išjungti SSH root prisijungimą
Sukurkite naują supervartotoją
Į suteikti sudo arba root leidimus prie įprastos Linux vartotojo paskyros, pridėkite vartotoją prie sudo sugrupuoti taip:
usermod -aG sudo vartotojo vardas
Dabar perjunkite į vartotojo abonementą naudodami komandą su ir patikrinkite jos pagrindines teises, išleisdami komandą, prieinamą tik pagrindiniam vartotojui:
su - vartotojo vardas
sudo systemctl iš naujo paleiskite sshd
Sudo leidimų įjungimas suteikia keletą gerų saugumo pranašumų, tokių kaip:
- Jums nereikia dalytis root slaptažodžiais su įprastais vartotojais.
- Tai padeda patikrinti visas paprastų vartotojų vykdomas komandas, o tai reiškia, kad išsaugo kas, kada ir kur komandų vykdymo informaciją. /var/log/secure failą.
- Be to, galite redaguoti /etc/sudoers failą, kad apribotumėte paprastų vartotojų supervartotojo teises. Galite naudoti komandą su -l norėdami patikrinti esamus vartotojo root leidimus.
Išjungti šakninį SSH prisijungimą
Norėdami išjungti šakninę SSH prieigą savo sistemoje, pirmiausia atidarykite pagrindinį konfigūracijos failą.
sudo vim /etc/ssh/sshd_config
Dabar panaikinkite šios eilutės komentarą, kad nustatytumėte root prisijungimo teises ne:
PermitRootLogin Nr
Išsaugokite failą ir paleiskite iš naujo sshd paslaugą įvesdami:
sudo systemctl iš naujo paleiskite sshd
Dabar, kai bandysite įvesti SSH į sistemą kaip root naudotojas, gausite šį klaidos pranešimą:
Leidimas atmestas, bandykite dar kartą.
2. Nustatykite sąskaitų galiojimo datas
Kitas veiksmingas būdas kontroliuoti nereikalingą prieigą yra nustatyti galiojimo datas paskyroms, sukurtoms laikinai naudoti.
Pavyzdžiui, jei praktikantui ar darbuotojui reikia prieigos prie sistemos, kurdami paskyrą galite nustatyti galiojimo datą. Tai atsargumo priemonė, jei pamirštumėte rankiniu būdu pašalinti arba ištrinti paskyrą, kai jie išeina iš organizacijos.
Naudoti chage komandą su grep programa norėdami gauti vartotojo paskyros galiojimo pabaigos informaciją:
chage -l vartotojo vardas| grep paskyra
Išvestis:
Paskyros galiojimo laikas baigiasi: niekada
Kaip parodyta aukščiau, jo galiojimo laikas nenurodomas. Dabar naudokite usermod komandą su -e vėliavėlė, kad nustatytumėte galiojimo datą MMMM-MM-DD formatu ir patikrinkite pakeitimą naudodami aukščiau esančią chage komandą.
usermod -e 2021-01-25 vartotojo vardas
chage -l vartotojo vardas| grep paskyra
3. Pagerinkite paskyros slaptažodžio apsaugą
Stiprios slaptažodžių politikos vykdymas yra svarbus vartotojų paskyrų apsaugos aspektas, nes silpni slaptažodžiai leidžia užpuolikams lengvai įsilaužti į jūsų sistemas per brutali jėga, žodynas arba vaivorykštės lentelės atakos.
Lengvai įsimenamo slaptažodžio pasirinkimas gali būti šiek tiek patogus, bet taip pat atveria galimybes užpuolikams atspėti slaptažodžius naudojant internetinius įrankius ir žodžių sąrašus.
Nustatykite slaptažodžio galiojimo pabaigos datą
Be to, „Linux“ siūlo kai kurias numatytąsias parinktis /etc/logins.defs failas, leidžiantis nustatyti paskyros slaptažodžio senėjimą. Naudoti chage komandą ir grep slaptažodžio galiojimo pabaigos informaciją taip:
chage -l vartotojo vardas | grep dienos
Kintamieji | Numatytoji reikšmė | Naudojimas | Ideali vertė |
---|---|---|---|
PASS_MAX_DAYS | 9999 | Numatytasis dienų skaičius, per kurį reikia naudoti slaptažodį, priklauso nuo paskyros sąrankos tipo | 40 |
PASS_MIN_DAYS | 0 | Neleidžia vartotojams nedelsiant pakeisti slaptažodžio | 5 |
PASS_MIN_LEN | 5 | Priverčia vartotoją nustatyti tam tikro ilgio slaptažodžius | 15 |
PASS_WARN_AGE | 0 | Įspėja vartotoją, kad jis pakeistų slaptažodį, prieš jį priversdamas tai padaryti | 7 |
Naudojamų paskyrų slaptažodžio senėjimą galite valdyti naudodami chage komanda, kad nustatytumėte PASS_MAX_DAYS, PASS_MIN_DAYS ir PASS_WARN_AGE į 40, 5 ir 7.
chage -M 40 -m 5 -W 7 vartotojo vardas
Slaptažodžių maišos
Kitas būdas sustiprinti paskyros slaptažodžio apsaugą yra slaptažodžių maišos saugojimas viduje /etc/shadow failą. Maišos yra vienpusės matematinės funkcijos, kurios įveda slaptažodį ir išveda negrįžtamą eilutę.
Anksčiau „Linux“ sistemose, kai vartotojas įvesdavo slaptažodį, kad prisijungtų, sistema sugeneruodavo maišą ir palygindavo ją su slaptažodžiu, esančiu /etc/passwd failą.
Tačiau yra problema, susijusi su passwd failo leidimo prieiga, ty kiekvienas, turintis prieigą prie sistemos, gali skaityti failą ir nulaužti maišą naudodami vaivorykštės lenteles.
Taigi, Linux dabar išsaugo maišą viduje /etc/shadow failą su šiais prieigos leidimais:
ls -l /etc/shadow
1 šaknis 1626 sausio 7 d. 13:56 /etc/shadow
Vis dar galite įdiegti „Linux“ naudodami senus maišos saugojimo būdus. Galite tai pakeisti paleisdami pwconv komanda, kad ji automatiškai išsaugos slaptažodžio maišą /etc/shadow failą. Panašiai galite įjungti kitą metodą (/etc/passwd failą) naudodami pwunconv komandą.
4. Pašalinkite nenaudojamas vartotojų paskyras
Blogas veikėjas gali išnaudoti nenaudojamas ir nebegaliojančias paskyras sistemoje, atnaujindamas paskyrą ir paversdamas ją teisėtu vartotoju. Norėdami pašalinti neaktyvią paskyrą ir susijusius duomenis, kai vartotojas išeina iš organizacijos, pirmiausia suraskite visus su vartotoju susijusius failus:
rasti / -vartotojo vartotojo vardą
Tada išjunkite paskyrą arba nustatykite galiojimo datą, kaip aprašyta aukščiau. Nepamirškite sukurti vartotojui priklausančių failų atsarginių kopijų. Galite pasirinkti priskirti failus naujam savininkui arba pašalinti juos iš sistemos.
Galiausiai ištrinkite vartotojo abonementą naudodami komandą userdel.
userdel -f vartotojo vardas
5. Apriboti nuotolinę prieigą konkrečiai vartotojų grupei
Jei naudojate žiniatinklio serverį savo „Linux“ įrenginyje, gali reikėti leisti tik konkretiems vartotojams nuotolinį SSH prisijungti prie sistemos. OpenSSL leidžia apriboti vartotojus kryžminiu patikrinimu, ar jie priklauso konkrečiai grupei.
Norėdami tai padaryti, sukurkite vartotojų grupę pavadinimu ssh_gp, pridėkite vartotojus, kuriems norite suteikti nuotolinę prieigą prie grupės, ir nurodykite vartotojų grupės informaciją taip:
sudo groupadd ssh_gp
sudo gpasswd - vartotojo vardas ssh_gp
grupių vartotojo vardą
Dabar atidarykite pagrindinį OpenSSL konfigūracijos failą, kad įtrauktumėte leistiną vartotojų grupę ssh_gp.
sudo vim /etc/ssh/sshd_config
AllowGroups ssh_gp
Nepamirškite panaikinti eilutės komentaro, kad užtikrintumėte sėkmingą įtraukimą į grupę. Baigę išsaugokite ir išeikite iš failo ir paleiskite paslaugą iš naujo:
sudo systemctl iš naujo paleiskite sshd
Vartotojo paskyros saugumo palaikymas sistemoje „Linux“.
Šiais laikais dauguma organizacijų turi svarbias infrastruktūras, tokias kaip žiniatinklio serveriai, ugniasienės ir duomenų bazės Linux, o bet kurio vidinio komponento kompromisas kelia didelę grėsmę visumai infrastruktūrą.
Atsižvelgiant į sąrankos svarbą, vartotojų paskyrų tvarkymas ir apsauga yra pagrindinis iššūkis, su kuriuo susiduria Linux administratoriai. Šiame straipsnyje išvardytos kai kurios saugos priemonės, kurių turi imtis paskyros administratorius, kad apsaugotų sistemą nuo galimų grėsmių, kylančių dėl neapsaugotų vartotojų abonementų.
Naudotojų valdymas yra esminė užduotis, kurią turėtų išmanyti kiekvienas Linux sistemos administratorius. Čia yra galutinis „Linux“ naudotojo valdymo vadovas.
Skaitykite toliau
- Linux
- Saugumas
- Vartotojo abonemento valdymas
- Saugumas
- Saugumo patarimai
Rumaisa yra laisvai samdoma rašytoja MUO. Ji dėvėjo daugybę skrybėlių – nuo matematikės iki informacijos saugumo entuziastės, o dabar dirba SOC analitike. Jos pomėgiai apima skaitymą ir rašymą apie naujas technologijas, Linux platinimą ir viską, kas susiję su informacijos saugumu.
Prenumeruokite mūsų naujienlaiškį
Prisijunkite prie mūsų naujienlaiškio, kad gautumėte techninių patarimų, apžvalgų, nemokamų el. knygų ir išskirtinių pasiūlymų!
Norėdami užsiprenumeruoti, spustelėkite čia