5 viisi Linuxi kasutajakonto turvalisuse parandamiseks

Esimene ja kõige olulisem samm Linuxi serverite ja süsteemide turvalisuse suunas on pahatahtlike osapoolte soovimatu juurdepääsu takistamine. Õige kasutajakonto juhtimine on üks paljudest viisidest oma süsteemi turvalisuse suurendamiseks.

Karastatud kasutajakonto takistab süsteemil levinumaid ründemeetodeid, milleks on horisontaalne või vertikaalne privileegide eskalatsioon. Seega vastutate Linuxi süsteemiadministraatorina ka oma serveri kaitsmise eest tõhusate turvatehnikate abil.

See artikkel hõlmab mõningaid kasutajakonto põhilisi turvakontrolle, et vältida tarbetut juurdepääsu ja parandada võimalikke lünki, mis võivad süsteemi ohtu seada.

1. Juurkonto juurdepääsu piiramine

Vaikimisi seadistab iga Linuxi süsteemi installimine juurkonto, millele SSH kaudu pääsevad juurde kõik väljastpoolt. Juurdepääs juurkontole SSH kaudu või mitme kasutaja juurdepääs süsteemis võib aga põhjustada keeldumisprobleeme.

Näiteks võib ründaja kasutada jõhkrat jõudu, et logida sisse juurkasutajana ja saada juurdepääs süsteemile.

Mittevajaliku juurjuurdepääsu piiramiseks Linuxi süsteemi seest/väljastpoolt saate teha järgmist.

• Lisa veel üks kasutaja ja anda sellele juurõigused
• SSH juurlogimise keelamine

Looge uus superkasutaja

To anda sudo või root õigused tavalisele Linuxi kasutajakontole, lisage kasutaja kontole sudo rühmitada järgmiselt:

usermod -aG sudo kasutajanimi

Nüüd lülituge kasutajakontole, kasutades käsku su, ja kontrollige selle juurõigusi, väljastades käsu, mis on juurdepääsetav ainult juurkasutajale:

su - kasutajanimi
sudo systemctl taaskäivitage sshd

Sudo õiguste lubamine pakub häid turvaeelisi, näiteks:

• Te ei pea tavakasutajatega juurparoole jagama.
• See aitab teil kontrollida kõiki tavakasutajate käitatavaid käske, mis tähendab, et see salvestab käskude täitmise kes, millal ja kus andmed. /var/log/secure faili.
• Lisaks saate redigeerida /etc/sudoers faili tavakasutajate õiguste piiramiseks. Võite kasutada käsku su -l kasutaja praeguste juurõiguste kontrollimiseks.

Keela juur-SSH sisselogimine

Juur-SSH-juurdepääsu keelamiseks oma süsteemis avage esmalt põhikonfiguratsioonifail.

sudo vim /etc/ssh/sshd_config

Nüüd tühjendage järgmise rea kommentaar, et määrata juurjuurdepääsuõigused ei:

PermitRootLogin nr

Salvestage fail ja taaskäivitage sshd teenust sisestades:

sudo systemctl taaskäivitage sshd

Nüüd, kui proovite SSH-d süsteemi juurkasutajana sisestada, kuvatakse järgmine tõrketeade:

Luba on keelatud, proovige uuesti.

2. Määrake kontodele aegumiskuupäevad

Teine tõhus viis mittevajaliku juurdepääsu kontrollimiseks on määrata ajutiseks kasutamiseks loodud kontodele aegumiskuupäevad.

Näiteks kui praktikant või töötaja vajab süsteemile juurdepääsu, saate konto loomise ajal määrata aegumiskuupäeva. See on ettevaatusabinõu juhuks, kui unustate konto pärast organisatsioonist lahkumist käsitsi eemaldada või kustutada.

Kasuta chage käsuga grep utiliit kasutaja konto aegumise üksikasjade toomiseks:

chage -l kasutajanimi| grep konto

Väljund:

Konto aegub: mitte kunagi

Nagu ülal näidatud, ei väljasta see aegumiskuupäeva. Nüüd kasutage usermod käsuga -e lipp, et määrata aegumiskuupäev AAAA-KK-PP vormindage ja kontrollige muudatust, kasutades ülaltoodud käsku chage.

usermod -e 2021-01-25 kasutajanimi
chage -l kasutajanimi| grep konto

3. Konto parooli turvalisuse parandamine

Tugeva paroolipoliitika jõustamine on kasutajakontode turvamise oluline aspekt, kuna nõrgad paroolid võimaldavad ründajatel hõlpsalt teie süsteemidesse tungida toores jõud, sõnaraamatu või vikerkaaretabeli rünnakud.

Kergesti meeldejääva parooli valimine võib pakkuda mõningast mugavust, kuid avab ründajatele ka võimalused võrgus saadaolevate tööriistade ja sõnaloendite abil paroole ära arvata.

Määrake parooli aegumiskuupäev

Lisaks pakub Linux sees mõningaid vaikevalikuid /etc/logins.defs fail, mis võimaldab teil määrata konto parooli vananemise. Kasuta chage käsk ja grep parooli aegumise üksikasjad järgmiselt:

chage -l kasutajanimi | grep päevad

Muutujad	Vaikeväärtus	Kasutamine	Ideaalne väärtus
PASS_MAX_DAYS	9999	Vaikimisi parooli kasutamise päevade arv, mis sõltub teie konto seadistuse tüübist	40
PASS_MIN_DAYS	0	Takistab kasutajatel parooli viivitamatut muutmist	5
PASS_MIN_LEN	5	Sunnib kasutajat määrama teatud pikkusega paroole	15
PASS_WARN_AGE	0	Hoiatab kasutajat parooli muutma, enne kui teda sunnitakse seda tegema	7

Kasutusel olevate kontode puhul saate parooli vananemist juhtida rakenduse abil chage käsuga PASS_MAX_DAYS, PASS_MIN_DAYS ja PASS_WARN_AGE väärtuseks 40, 5 ja 7.

chage -M 40 -m 5 -W 7 kasutajanimi

Parooliräsid

Teine viis konto parooli turvalisuse tugevdamiseks on parooliräside salvestamine /etc/shadow faili. Räsid on ühesuunalised matemaatilised funktsioonid, mis võtavad parooli sisendiks ja väljastavad mittepööratava stringi.

Varem genereeris süsteem Linuxi süsteemides iga kord, kui kasutaja sisestas oma parooli sisselogimiseks, oma räsi ja võrdles seda salvestatud parooliga. /etc/passwd faili.

Siiski on probleem passwd-faili juurdepääsuõigusega, st igaüks, kellel on süsteemi juurdepääs, saab faili lugeda ja vikerkaaretabelite abil räsi murda.

Seetõttu salvestab Linux nüüd räsid selle sees /etc/shadow fail, millel on järgmised juurdepääsuõigused:

ls -l /etc/shadow
 1 juurjuur 1626 7. jaanuar 13:56 /etc/shadow

Endiselt on teil võimalik installida Linuxi vanade räside salvestamise viisidega. Saate seda muuta, käivitades rakenduse pwconv käsk, nii et see salvestab automaatselt parooliräsi /etc/shadow faili. Samamoodi saate lubada ka teise meetodi (/etc/passwd fail), kasutades pwunconv käsk.

4. Eemaldage kasutamata kasutajakontod

Halb tegutseja võib süsteemis kasutamata ja aegunud kontosid ära kasutada, uuendades seda kontot ja muutes selle seaduslikuks kasutajaks. Mitteaktiivse konto ja sellega seotud andmete eemaldamiseks alati, kui kasutaja organisatsioonist lahkub, otsige esmalt üles kõik kasutajaga seotud failid.

leia / -kasutaja kasutajanimi

Seejärel keelake konto või määrake aegumiskuupäev, nagu ülalpool kirjeldatud. Ärge unustage varundada kasutajale kuuluvaid faile. Saate määrata failid uuele omanikule või need süsteemist eemaldada.

Lõpuks kustutage kasutajakonto, kasutades käsku userdel.

userdel -f kasutajanimi

5. Piirake kaugjuurdepääs konkreetsele kasutajarühmale

Kui hostite oma Linuxi masinas veebiserverit, peate võib-olla lubama ainult teatud kasutajatel süsteemi kaug-SSH-d. OpenSSL võimaldab piirata kasutajaid, kontrollides, kas nad kuuluvad teatud rühma.

Selleks looge kasutajagrupp nimega ssh_gp, lisage kasutajad, kellele soovite rühmale kaugjuurdepääsu anda, ja loetlege kasutajarühma teave järgmiselt:

sudo groupadd ssh_gp
sudo gpasswd - kasutajanimi ssh_gp
rühmade kasutajanimi

Nüüd avage OpenSSL-i põhikonfiguratsioonifail, et kaasata lubatud kasutajarühm ssh_gp.

sudo vim /etc/ssh/sshd_config
AllowGroups ssh_gp

Rühma eduka kaasamise tagamiseks ärge unustage rida kommentaare tühistada. Kui olete valmis, salvestage fail ja väljuge sellest ning taaskäivitage teenus:

sudo systemctl taaskäivitage sshd

Kasutajakonto turvalisuse säilitamine Linuxis

Tänapäeval majutab enamik organisatsioone kriitilisi infrastruktuure, nagu veebiserverid, tulemüürid ja andmebaasid Linux ja mis tahes sisemise komponendi kompromiss kujutab endast olulist ohtu tervikule infrastruktuuri.

Arvestades seadistamise tähtsust, on kasutajakontode haldamine ja turvamine Linuxi administraatorite jaoks põhiline väljakutse. Selles artiklis on loetletud mõned turvameetmed, mida kontoadministraator peab võtma, et kaitsta süsteemi kaitsmata kasutajakontodest tulenevate võimalike ohtude eest.

Linuxi kasutajahalduse täielik juhend

Kasutajate haldamine on ülioluline ülesanne, milles iga Linuxi süsteemiadministraator peaks olema asjatundlik. Siin on Linuxi parim kasutajahaldusjuhend.

Loe edasi

Autori kohta