Први и најважнији корак ка обезбеђењу Линук сервера и система је спречавање непотребног приступа злонамерним странама. Правилна контрола корисничког налога је само један од многих начина да побољшате безбедност вашег система.
Ојачани кориснички налог спречава систем од најчешћих метода напада хоризонталне или вертикалне ескалације привилегија. Стога, као администратор система Линук, такође сте одговорни за заштиту својих сервера кроз ефикасне безбедносне технике.
Овај чланак покрива неке основне безбедносне контроле корисничког налога како би се спречио непотребан приступ и поправиле рањивости које би могле довести до компромитовања система.
1. Ограничите приступ роот налогу
Подразумевано, свака инсталација Линук система поставља роот налог који је доступан свима споља преко ССХ-а. Међутим, приступ основном налогу преко ССХ-а или приступ вишеструким корисницима унутар система може изазвати проблеме са забраном дозволе.
На пример, нападач може грубом силом да се пријави као роот корисник и добије приступ систему.
Помаже вам да истражите све команде које покрећу редовни корисници, што значи да чува детаље ко, када и где о извршењу команде у /вар/лог/сецуре датотеци.
Поред тога, можете уредити датотеку /етц/судоерс да бисте ограничили дозволе суперкорисника на обичне кориснике. Можете користити команду су -л да проверите тренутне роот дозволе корисника.
2. Подесите датуме истека на рачунима
Још један ефикасан начин контроле непотребног приступа је постављање датума истека на налозима креираним за привремену употребу.
На пример, ако приправнику или запосленом треба приступ систему, можете подесити датум истека током креирања налога. Ово је мера предострожности у случају да заборавите да ручно избришете или избришете налог након што напустите организацију.
Као што је горе приказано, не даје никакав датум истека. Сада користите команду усермод са заставицом -е да поставите датум истека у ГГГГ-ММ-ДД формату и проверите промену користећи горњу команду цхаге.
3. Побољшајте заштиту лозинком налога
Примена политике јаке лозинке је важан аспект обезбеђења корисничких налога, јер слабе лозинке омогућавају нападачима да лако продру у ваш систем путем грубе силе, напада помоћу речника или табела дуге.
Одабир лозинке која се лако памти може пружити одређену погодност, али такође отвара могућности нападачима да погоде лозинке уз помоћ спискова речи и алата доступних на мрежи.
поставите датум истека лозинке
Поред тога, Линук пружа неке подразумеване опције унутар датотеке /етц/логинс.дефс које вам омогућавају да подесите старење лозинке налога. Користите команду цхаге и греп детаље о истеку лозинке на следећи начин.
хеш лозинке
Други начин да ојачате безбедност лозинке налога је да ускладиштите хешове лозинке унутар датотеке /етц/схадов. Хешови су једносмерне математичке функције које узимају лозинку као улаз и излазе нереверзибилни стринг.
Раније, на Линук системима, кад год је корисник унео своју лозинку да би се пријавио, систем је генерисао сопствени хеш и унакрсно га проверавао са оним сачуваним у датотеци /етц/пассвд.
Међутим, постоји проблем са приступом дозволама пассвд фајлу, то јест, свако ко има системски приступ може да прочита датотеку и разбије хешове помоћу дугиних табела.
Још увек можете да подесите Линук са старијим методама складиштења хешова. Ово можете да измените тако што ћете покренути команду пвцонв, тако да ће аутоматски сачувати хешове лозинке у /етц/схадов датотеци. Слично томе, можете омогућити другу методу (/етц/пассвд датотеку) користећи команду пвунцонв.
4. Уклоните неискоришћене корисничке налоге
Лош актер може искористити неискоришћене налоге у систему који су истекли тако што ће обновити тај налог и учинити га да изгледа као легитиман корисник. Да бисте уклонили неактиван налог и повезане податке кад год корисник напусти организацију, прво пронађите све датотеке које се односе на корисника.
Затим онемогућите налог или поставите датум истека као што је горе објашњено. Не заборавите да направите резервну копију датотека које поседује корисник. Можете изабрати да или доделите датотеке новом власнику или да их уклоните из система.
5. Ограничите даљински приступ одређеној групи корисника
Ако хостујете веб сервер на вашој Линук машини, можда ћете морати да дозволите само одређеним корисницима да удаљени ССХ у систем. ОпенССЛ вам омогућава да ограничите кориснике унакрсном провером да ли припадају одређеној групи.
Данас већина организација хостује критичну инфраструктуру као што су веб сервери, заштитни зидови и базе података на Линук-у, а компромис било које унутрашње компоненте представља значајну претњу за целу инфраструктуру.