Az első és legfontosabb lépés a Linux szerverek és rendszerek biztonsága felé az, hogy megakadályozzuk a rosszindulatú feleket a szükségtelen hozzáféréstől. A megfelelő felhasználói fiókok ellenőrzése a rendszer biztonságának fokozásának számos módja egyike.

A megerősített felhasználói fiók megakadályozza, hogy a rendszer a legáltalánosabb támadási módszereket, azaz a vízszintes vagy függőleges jogosultságkiterjesztést megtegye. Ennélfogva, mint Linux rendszergazda, felelős azért is, hogy hatékony biztonsági technikákkal megvédje szerverét.

Ez a cikk a felhasználói fiókok néhány alapvető biztonsági vezérlőjével foglalkozik, amelyek megakadályozzák a szükségtelen hozzáférést, és kijavíthatják a rendszer kompromittálása miatti esetleges kiskapukat.

1. A root fiókhoz való hozzáférés korlátozása

Alapértelmezés szerint minden Linux rendszer telepítése beállít egy root fiókot, amely bárki számára elérhető kívülről SSH-n keresztül. Azonban a root fiókhoz való hozzáférés SSH-n keresztül vagy a rendszeren belüli többfelhasználós hozzáférés elutasítási problémákat okozhat.

instagram viewer

Például egy támadó brutális erővel léphet be root felhasználóként, és hozzáférhet a rendszerhez.

A szükségtelen root hozzáférés korlátozásához a Linux rendszeren belülről vagy kívülről a következőket teheti:

  • Új felhasználó hozzáadása és root jogosultságokat adjon neki
  • Az SSH root bejelentkezés letiltása

Hozzon létre egy új szuperfelhasználót

Nak nek adjon sudo vagy root engedélyeket egy normál Linux felhasználói fiókhoz, adja hozzá a felhasználót a sudo csoportosítása a következőképpen:

usermod -aG sudo felhasználónév

Most váltson át a felhasználói fiókra a su paranccsal, és ellenőrizze annak root jogosultságait egy olyan parancs kiadásával, amely csak a root felhasználó számára hozzáférhető:

su - felhasználónév
sudo systemctl indítsa újra az sshd-t

A sudo engedélyek engedélyezése jó biztonsági előnnyel jár, például:

  • Nem kell megosztania a root jelszavakat a normál felhasználókkal.
  • Segít ellenőrizni a normál felhasználók által futtatott összes parancsot, ami azt jelenti, hogy a parancs végrehajtásának ki, mikor és hol adatait tárolja a /var/log/secure fájlt.
  • Ezenkívül szerkesztheti a /etc/sudoers fájlt, hogy korlátozza a normál felhasználók szuperfelhasználói engedélyeit. Használhatja a parancsot su -l hogy ellenőrizze a felhasználó aktuális root jogosultságait.

A Root SSH bejelentkezés letiltása

A root SSH hozzáférés letiltásához a rendszeren először nyissa meg a fő konfigurációs fájlt.

sudo vim /etc/ssh/sshd_config

Most törölje a megjegyzéseket a következő sorból a root bejelentkezési engedélyek beállításához nem:

PermitRootLogin sz

Mentse el a fájlt, és indítsa újra a sshd szolgáltatás beírásával:

sudo systemctl indítsa újra az sshd-t

Mostantól, amikor root felhasználóként próbál SSH-t beállítani a rendszerbe, a következő hibaüzenet jelenik meg:

Engedély megtagadva, próbálkozzon újra.

2. Állítsa be a számlák lejárati dátumát

A szükségtelen hozzáférés szabályozásának másik hatékony módja az ideiglenes használatra létrehozott fiókok lejárati dátumának beállítása.

Például, ha egy gyakornoknak vagy egy alkalmazottnak hozzá kell férnie a rendszerhez, a fiók létrehozása során beállíthat egy lejárati dátumot. Ez egy elővigyázatossági intézkedés arra az esetre, ha elfelejtené manuálisan eltávolítani vagy törölni a fiókot, miután elhagyta a szervezetet.

Használja a chage parancsot a grep segédprogram a fiók lejárati adatainak lekéréséhez a felhasználó számára:

chage -l felhasználónév| grep fiók

Kimenet:

A fiók lejár: soha

Mint fentebb látható, nem ad ki lejárati dátumot. Most használja a usermod parancsot a -e jelölje be a lejárati dátumot a ÉÉÉÉ-HH-NN formázza, és ellenőrizze a változtatást a fenti chage paranccsal.

usermod -e 2021-01-25 felhasználónév
chage -l felhasználónév| grep fiók

3. A fiók jelszavas biztonságának javítása

Az erős jelszószabályok betartatása fontos szempont a felhasználói fiókok védelmében, mivel a gyenge jelszavak lehetővé teszik a támadók számára, hogy könnyen betörjenek a rendszerbe nyers erő, szótár vagy szivárványtábla támadások.

A könnyen megjegyezhető jelszó választása némi kényelmet kínálhat, de lehetőséget ad a támadóknak arra, hogy kitalálják a jelszavakat az online elérhető eszközök és szólisták segítségével.

Állítsa be a jelszó lejárati dátumát

Ezen túlmenően a Linux néhány alapértelmezett opciót kínál belül /etc/logins.defs fájl, amely lehetővé teszi a fiók jelszavának öregítésének beállítását. Használja a chage parancsot, és grep a jelszó lejárati adatait az alábbiak szerint:

chage -l felhasználónév | grep napok
Változók Alapértelmezett érték Használat Ideális érték
PASS_MAX_DAYS 9999 A jelszó használatához szükséges napok alapértelmezett száma, amely a fiókbeállítás típusától függ 40
PASS_MIN_DAYS 0 Megakadályozza, hogy a felhasználók azonnal módosítsák jelszavukat 5
PASS_MIN_LEN 5 Arra kényszeríti a felhasználót, hogy bizonyos hosszúságú jelszavakat állítson be 15
PASS_WARN_AGE 0 Figyelmezteti a felhasználót, hogy módosítsa a jelszót, mielőtt erre kényszerítené 7

A használatban lévő fiókoknál a jelszavas öregedés a segítségével szabályozható chage paranccsal állítsa be a PASS_MAX_DAYS, PASS_MIN_DAYS és PASS_WARN_AGE értéket 40, 5 és 7 értékre.

chage -M 40 -m 5 -W 7 felhasználónév

Jelszókivonatok

A fiók jelszavas biztonságának megerősítésének másik módja a jelszókivonatok tárolása az /etc/shadow fájl. A hash-ek egyirányú matematikai függvények, amelyek bemenetként veszik a jelszót, és egy nem visszafordítható karakterláncot adnak ki.

Korábban Linux rendszereken, amikor a felhasználó beírta jelszavát a bejelentkezéshez, a rendszer létrehozta a hash-jét, és összevetette azt a /etc/passwd fájlt.

Probléma van azonban a passwd fájl jogosultsági hozzáférésével, vagyis bárki, aki rendelkezik rendszerhozzáféréssel, elolvashatja a fájlt, és szivárványtáblákkal feltörheti a hash-t.

Ezért a Linux most elmenti a hash-eket a fájlba /etc/shadow fájl a következő hozzáférési jogosultságokkal:

ls -l /etc/shadow
 1 gyökér gyökér 1626 január 7 13:56 /etc/shadow

Továbbra is lehetséges a Linux telepítése a hash tárolásának régi módszereivel. Ezt úgy módosíthatja, hogy futtatja a pwconv parancsot, így automatikusan elmenti a jelszókivonatokat a /etc/shadow fájlt. Hasonlóképpen engedélyezheti a másik módszert is (/etc/passwd fájl) segítségével pwunconv parancs.

4. Távolítsa el a nem használt felhasználói fiókokat

Egy rossz szereplő kihasználhatja a rendszerben lévő fel nem használt és lejárt fiókokat, ha megújítja a fiókot, és legitim felhasználónak tűnik. Az inaktív fiók és a kapcsolódó adatok eltávolításához, amikor egy felhasználó elhagyja a szervezetet, először keresse meg a felhasználóhoz kapcsolódó összes fájlt:

Find / -user username

Ezután tiltsa le a fiókot, vagy állítson be egy lejárati dátumot a fent leírtak szerint. Ne felejtsen el biztonsági másolatot készíteni a felhasználó tulajdonában lévő fájlokról. Választhat úgy, hogy a fájlokat új tulajdonoshoz rendeli, vagy eltávolítja őket a rendszerből.

Végül törölje a felhasználói fiókot a userdel paranccsal.

userdel -f felhasználónév

5. A távoli hozzáférés korlátozása egy adott felhasználói csoportra

Ha webszervert üzemeltet Linux gépén, előfordulhat, hogy csak bizonyos felhasználóknak kell engedélyeznie a távoli SSH-t a rendszerbe. Az OpenSSL lehetővé teszi a felhasználók korlátozását azáltal, hogy ellenőrzi, hogy egy adott csoporthoz tartoznak-e.

Ehhez hozzon létre egy nevű felhasználói csoportot ssh_gp, adja hozzá azokat a felhasználókat, akiknek távoli hozzáférést szeretne adni a csoporthoz, és listázza ki a felhasználói csoport adatait az alábbiak szerint:

sudo groupadd ssh_gp
sudo gpasswd -a felhasználónév ssh_gp
csoportok felhasználóneve

Most nyissa meg az OpenSSL fő konfigurációs fájlját, hogy tartalmazza az engedélyezett felhasználói csoportot ssh_gp.

sudo vim /etc/ssh/sshd_config
AllowGroups ssh_gp

Ne felejtse el törölni a sor megjegyzését a sikeres csoportbeillesztés érdekében. Ha kész, mentse el és lépjen ki a fájlból, és indítsa újra a szolgáltatást:

sudo systemctl indítsa újra az sshd-t

Felhasználói fiókok biztonságának fenntartása Linuxon

Manapság a legtöbb szervezet olyan kritikus infrastruktúrákat üzemeltet, mint a webszerverek, tűzfalak és adatbázisok Linux, és bármely belső komponens kompromittálódása jelentős veszélyt jelent az egészre nézve infrastruktúra.

Tekintettel a beállítás fontosságára, a felhasználói fiókok kezelése és biztonsága alapvető kihívást jelent a Linux rendszergazdák számára. Ez a cikk felsorol néhány biztonsági intézkedést, amelyet a fiókadminisztrátornak meg kell tennie, hogy megvédje a rendszert a nem védett felhasználói fiókokból eredő potenciális fenyegetésekkel szemben.

A Linux felhasználói kezelésének teljes útmutatója

A felhasználók kezelése kulcsfontosságú feladat, amelyben minden Linux rendszergazdának jártasnak kell lennie. Íme a végső felhasználókezelési útmutató Linuxhoz.

Olvassa el a következőt

RészvényCsipogEmail
Kapcsolódó témák
  • Linux
  • Biztonság
  • Felhasználói felület
  • Biztonság
  • Biztonsági tippek
A szerzőről
Rumaisa Niazi (8 cikk megjelent)

Rumaisa a MUO szabadúszó írója. Sok kalapot viselt, a matematikustól az információbiztonság-rajongóig, és most SOC elemzőként dolgozik. Érdeklődési köre az új technológiákról, Linux disztribúciókról és az információbiztonsággal kapcsolatos bármiről való olvasás és írás.

Továbbiak Rumaisa Niazitól

Iratkozzon fel hírlevelünkre

Csatlakozzon hírlevelünkhöz műszaki tippekért, ismertetőkért, ingyenes e-könyvekért és exkluzív ajánlatokért!

Kattintson ide az előfizetéshez