Prvi i najvažniji korak prema osiguranju Linux poslužitelja i sustava je sprječavanje zlonamjernih strana od nepotrebnog pristupa. Ispravna kontrola korisničkog računa jedan je od mnogih načina za poboljšanje sigurnosti vašeg sustava.
Učvršćeni korisnički račun sprječava sustav od najčešćih metoda napada horizontalne ili vertikalne eskalacije privilegija. Stoga, kao administrator sustava Linux, također ste odgovorni za zaštitu vašeg poslužitelja učinkovitim sigurnosnim tehnikama.
Ovaj članak pokriva neke osnovne sigurnosne kontrole korisničkog računa kako bi se spriječio nepotreban pristup i popravile moguće rupe za narušavanje sustava.
1. Ograničite pristup root računu
Prema zadanim postavkama, svaka instalacija sustava Linux postavlja root račun koji je dostupan svima izvana putem SSH-a. Međutim, pristup korijenskom računu putem SSH-a ili pristup višestrukim korisnicima unutar sustava može uzrokovati probleme s odbijanjem.
Na primjer, napadač se može grubom silom prijaviti kao root korisnik i dobiti pristup sustavu.
Da biste ograničili nepotreban root pristup iznutra/izvan Linux sustava, možete:
- Dodajte drugog korisnika i dodijelite mu root privilegije
- Onemogućite SSH root prijavu
Stvorite novog superkorisnika
Do dodijelite sudo ili root dozvole na uobičajeni Linux korisnički račun, dodajte korisnika u sudo grupirati kako slijedi:
usermod -aG sudo korisničko imeSada se prebacite na korisnički račun pomoću naredbe su i provjerite njegove privilegije root izdavanjem naredbe koja je dostupna samo root korisniku:
su - korisničko ime
sudo systemctl ponovno pokrenite sshdOmogućavanje sudo dopuštenja pruža neke dobre sigurnosne prednosti, kao što su:
- Ne morate dijeliti root lozinke s redovitim korisnicima.
- Pomaže vam provjeriti sve naredbe koje pokreću obični korisnici, što znači da pohranjuje tko, kada i gdje pojedinosti o izvršavanju naredbi u /var/log/secure datoteka.
- Osim toga, možete uređivati /etc/sudoers datoteku za ograničavanje dopuštenja superkorisnika redovitih korisnika. Možete koristiti naredbu su -l za provjeru trenutnih root dopuštenja korisnika.
Onemogućite Root SSH prijavu
Da biste onemogućili root SSH pristup na vašem sustavu, prvo otvorite glavnu konfiguracijsku datoteku.
sudo vim /etc/ssh/sshd_configSada dekomentirajte sljedeći redak da biste postavili root dozvole za prijavu Ne:
PermitRootLogin brSpremite datoteku i ponovno pokrenite sshd usluga upisivanjem:
sudo systemctl ponovno pokrenite sshdSada, kad god pokušate ući SSH u sustav kao root korisnik, dobit ćete sljedeću poruku o pogrešci:
Dopuštenje odbijeno, pokušajte ponovo.2. Postavite datume isteka na računima
Drugi učinkovit način kontrole nepotrebnog pristupa je postavljanje datuma isteka na računima stvorenim za privremenu upotrebu.
Na primjer, ako pripravnik ili zaposlenik treba pristup sustavu, možete postaviti datum isteka tijekom kreiranja računa. To je mjera opreza u slučaju da zaboravite ručno ukloniti ili izbrisati račun nakon što napuste organizaciju.
Koristiti mijenjati zapovijed sa uslužni program grep za dohvaćanje pojedinosti o isteku računa za korisnika:
promijeni -l korisničko ime| grep račun
Izlaz:
Račun istječe: nikadKao što je gore prikazano, ne ispisuje datum isteka. Sada koristite usermod naredba s -e zastavicu za postavljanje datuma isteka u GGGG-MM-DD formatirajte i provjerite promjenu pomoću gornje naredbe change.
usermod -e 2021-01-25 korisničko ime
promijeni -l korisničko ime| grep račun3. Poboljšajte sigurnost lozinke računa
Provođenje politike jakih lozinki važan je aspekt osiguranja korisničkih računa, jer slabe lozinke omogućuju napadačima da lako provale u vaše sustave putem sirova snaga, napadi rječnika ili rainbow table.
Odabir lozinke koja se lako pamti može ponuditi određenu pogodnost, ali također otvara mogućnosti napadačima da pogode lozinke uz pomoć online dostupnih alata i popisa riječi.
Postavite datum isteka lozinke
Štoviše, Linux nudi neke zadane opcije iznutra /etc/logins.defs datoteku koja vam omogućuje postavljanje starenja lozinke računa. Koristiti mijenjati naredbu i grep detalje o isteku lozinke kako slijedi:
promijeni -l korisničko ime | grep dana| Varijable | Zadana vrijednost | Korištenje | Idealna vrijednost |
|---|---|---|---|
| PASS_MAX_DAYS | 9999 | Zadani broj dana za korištenje lozinke koji ovisi o vrsti postavke vašeg računa | 40 |
| PASS_MIN_DAYS | 0 | Sprječava korisnike da odmah promijene svoju lozinku | 5 |
| PASS_MIN_LEN | 5 | Prisiljava korisnika da postavi lozinke određene duljine | 15 |
| PASS_WARN_AGE | 0 | Upozorava korisnika da promijeni lozinku prije nego što bude prisiljen na to | 7 |
Za račune u upotrebi možete kontrolirati starenje lozinke uz pomoć mijenjati naredba za postavljanje PASS_MAX_DAYS, PASS_MIN_DAYS i PASS_WARN_AGE na 40, 5 i 7.
promijeniti -M 40 -m 5 -W 7 korisničko imeHaševi lozinki
Drugi način za jačanje sigurnosti lozinke računa je pohranjivanje hashova lozinki unutra datoteku /etc/shadow. Haševi su jednosmjerne matematičke funkcije koje uzimaju lozinku kao ulaz i izlaze kao nepovratni niz.
Ranije, na Linux sustavima, kad god je korisnik unio svoju lozinku za prijavu, sustav je generirao svoj hash i provjeravao ga s onim pohranjenim u /etc/passwd datoteka.
Međutim, postoji problem s pristupom dopuštenja datoteke passwd, odnosno svatko tko ima pristup sustavu može pročitati datoteku i razbiti hash pomoću duginih tablica.
Stoga Linux sada sprema hasheve unutar /etc/shadow datoteka sa sljedećim skupom dopuštenja pristupa:
ls -l /etc/sjena
1 korijen korijen 1626 7. siječnja 13:56 /etc/shadowJoš uvijek možete instalirati Linux sa starim načinima pohranjivanja hashova. To možete izmijeniti pokretanjem pwconv naredbu, tako da će automatski spremiti hasheve lozinke u /etc/shadow datoteka. Slično, možete omogućiti drugu metodu (/etc/passwd datoteku) pomoću pwunconv naredba.
4. Uklonite neiskorištene korisničke račune
Loš akter može iskoristiti neiskorištene i istekle račune u sustavu, obnavljajući taj račun i čineći ga da izgleda kao legitiman korisnik. Da biste uklonili neaktivan račun i povezane podatke kad god korisnik napusti organizaciju, prvo pronađite sve datoteke povezane s korisnikom:
pronađi / -korisničko korisničko imeZatim onemogućite račun ili postavite datum isteka kako je gore objašnjeno. Ne zaboravite napraviti sigurnosnu kopiju datoteka u vlasništvu korisnika. Možete odabrati dodijeliti datoteke novom vlasniku ili ih ukloniti iz sustava.
Konačno, izbrišite korisnički račun pomoću naredbe userdel.
userdel -f korisničko ime5. Ograničite daljinski pristup na određenu korisničku grupu
Ako hostirate web poslužitelj na svom Linux računalu, možda ćete morati dopustiti samo određenim korisnicima udaljeni SSH u sustav. OpenSSL vam omogućuje da ograničite korisnike unakrsnom provjerom pripadaju li određenoj skupini.
Za to stvorite korisničku grupu pod nazivom ssh_gp, dodajte korisnike kojima želite dodijeliti daljinski pristup grupi i navedite informacije o grupi korisnika na sljedeći način:
sudo groupadd ssh_gp
sudo gpasswd -korisničko ime ssh_gp
korisničko ime grupeSada otvorite glavnu konfiguracijsku datoteku OpenSSL kako biste uključili dopuštenu korisničku grupu ssh_gp.
sudo vim /etc/ssh/sshd_config
AllowGroups ssh_gpNe zaboravite dekomentirati redak kako biste osigurali uspješno uključivanje u grupu. Kada završite, spremite i izađite iz datoteke i ponovno pokrenite uslugu:
sudo systemctl ponovno pokrenite sshdOdržavanje sigurnosti korisničkog računa na Linuxu
Danas većina organizacija ugošćuje kritične infrastrukture poput web poslužitelja, vatrozida i baza podataka Linux, a kompromis bilo koje unutarnje komponente predstavlja značajnu prijetnju cjelini infrastruktura.
S obzirom na važnost postavljanja, upravljanje i osiguranje korisničkih računa temeljni je izazov s kojim se suočavaju Linux administratori. U ovom su članku navedene neke sigurnosne mjere koje administrator računa mora poduzeti kako bi zaštitio sustav od potencijalnih prijetnji zbog nezaštićenih korisničkih računa.
Upravljanje korisnicima ključan je zadatak u kojem bi svaki administrator sustava Linux trebao biti vješt. Evo konačnog vodiča za upravljanje korisnicima za Linux.
Pročitajte dalje
- Linux
- Sigurnost
- Kontrola korisničkog računa
- Sigurnost
- Sigurnosni savjeti
Rumaisa je slobodni pisac u MUO. Nosila je mnogo šešira, od matematičarke do entuzijasta za informacijsku sigurnost, a sada radi kao analitičarka SOC-a. Njezini interesi uključuju čitanje i pisanje o novim tehnologijama, distribucijama Linuxa i svemu oko informacijske sigurnosti.
Pretplatite se na naše obavijesti
Pridružite se našem biltenu za tehničke savjete, recenzije, besplatne e-knjige i ekskluzivne ponude!
Kliknite ovdje za pretplatu