Prvým a najdôležitejším krokom k zabezpečeniu linuxových serverov a systémov je zabránenie neoprávneným stranám v nevyžiadanom prístupe. Správna kontrola používateľských účtov je jedným z mnohých spôsobov, ako zvýšiť bezpečnosť vášho systému.

Posilnené používateľské konto bráni systému pred najbežnejšími metódami útokov horizontálnej alebo vertikálnej eskalácie privilégií. Ako správca systému Linux teda zodpovedáte aj za ochranu vášho servera prostredníctvom účinných bezpečnostných techník.

Tento článok sa zaoberá niektorými základnými ovládacími prvkami zabezpečenia používateľských účtov, aby sa predišlo zbytočnému prístupu a opravili sa možné medzery pri ohrození systému.

1. Obmedziť prístup k koreňovému účtu

Každá inštalácia systému Linux štandardne nastavuje účet root prístupný komukoľvek zvonku cez SSH. Avšak prístup k účtu root cez SSH alebo prístup viacerých používateľov v rámci systému môže spôsobiť problémy s odmietnutím.

Útočník sa môže napríklad hrubou silou prihlásiť ako používateľ root a získať prístup do systému.

instagram viewer

Ak chcete obmedziť nepotrebný prístup root zvnútra/mimo systému Linux, môžete:

  • Pridať ďalšieho používateľa a udeliť mu oprávnenia root
  • Zakázať prihlásenie SSH root

Vytvorte nového superužívateľa

Komu udeliť sudo alebo root povolenia k bežnému používateľskému účtu systému Linux pridajte používateľa do sudo skupina takto:

usermod -aG sudo užívateľské meno

Teraz prejdite na používateľský účet pomocou príkazu su a overte jeho oprávnenia typu root zadaním príkazu, ktorý je prístupný iba používateľovi typu root:

su - používateľské meno
sudo systemctl reštart sshd

Povolenie povolení sudo poskytuje niektoré dobré bezpečnostné výhody, ako napríklad:

  • S bežnými používateľmi nemusíte zdieľať heslá typu root.
  • Pomáha vám kontrolovať všetky príkazy spustené bežnými používateľmi, čo znamená, že ukladá podrobnosti o tom, kto, kedy a kde o vykonaní príkazu /var/log/secure súbor.
  • Okrem toho môžete upraviť /etc/sudoers súbor obmedziť oprávnenia superužívateľa bežných používateľov. Môžete použiť príkaz su -l na kontrolu aktuálnych koreňových oprávnení používateľa.

Zakázať prihlásenie root SSH

Ak chcete vo svojom systéme zakázať prístup root SSH, najprv otvorte hlavný konfiguračný súbor.

sudo vim /etc/ssh/sshd_config

Teraz odkomentujte nasledujúci riadok, na ktorý chcete nastaviť prihlasovacie práva root č:

PermitRootLogin č

Uložte súbor a reštartujte sshd službu zadaním:

sudo systemctl reštart sshd

Teraz, kedykoľvek sa pokúsite pripojiť SSH do systému ako užívateľ root, dostanete nasledujúce chybové hlásenie:

Povolenie bolo odmietnuté, skúste to znova.

2. Na účtoch nastavte dátumy vypršania platnosti

Ďalším efektívnym spôsobom, ako kontrolovať nepotrebný prístup, je nastaviť dátumy vypršania platnosti účtov vytvorených na dočasné použitie.

Napríklad, ak stážista alebo zamestnanec potrebuje prístup do systému, môžete počas vytvárania účtu nastaviť dátum vypršania platnosti. Ide o preventívne opatrenie pre prípad, že zabudnete manuálne odstrániť alebo vymazať účet po tom, ako opustia organizáciu.

Použi zmena príkaz s nástroj grep na načítanie podrobností o vypršaní platnosti účtu pre používateľa:

zmeniť -l užívateľské meno| grep účet

Výkon:

Platnosť účtu vyprší: nikdy

Ako je uvedené vyššie, nevydáva žiadny dátum vypršania platnosti. Teraz použite usermod príkaz s -e príznak na nastavenie dátumu vypršania platnosti v RRRR-MM-DD naformátujte a overte zmenu pomocou príkazu chage vyššie.

usermod -e 2021-01-25 užívateľské meno
zmeniť -l užívateľské meno| grep účet

3. Zlepšite zabezpečenie hesla účtu

Presadzovanie politiky silných hesiel je dôležitým aspektom zabezpečenia používateľských účtov, pretože slabé heslá umožňujú útočníkom ľahko preniknúť do vašich systémov hrubou silou, slovník alebo útoky na dúhovú tabuľku.

Voľba ľahko zapamätateľného hesla môže ponúknuť určité pohodlie, ale útočníkom tiež otvára možnosti uhádnuť heslá pomocou online dostupných nástrojov a zoznamov slov.

Nastavte dátum vypršania platnosti hesla

Okrem toho Linux ponúka niekoľko predvolených možností vo vnútri /etc/logins.defs súbor, ktorý vám umožní nastaviť starnutie hesla účtu. Použi zmena príkaz a grep podrobnosti o vypršaní platnosti hesla takto:

chage -l užívateľské meno | grep dni
Premenné Predvolená hodnota Použitie Ideálna hodnota
PASS_MAX_DAYS 9999 Predvolený počet dní na používanie hesla, ktorý závisí od typu nastavenia vášho účtu 40
PASS_MIN_DAYS 0 Zabraňuje používateľom okamžite zmeniť svoje heslo 5
PASS_MIN_LEN 5 Núti používateľa nastaviť heslá určitej dĺžky 15
PASS_WARN_AGE 0 Upozorní používateľa, aby si zmenil heslo skôr, ako bude nútený tak urobiť 7

Pre používané účty môžete ovládať starnutie hesla pomocou zmena príkaz na nastavenie PASS_MAX_DAYS, PASS_MIN_DAYS a PASS_WARN_AGE na 40, 5 a 7.

zmena -M 40 -m 5 -W 7 užívateľské meno

Hašovanie hesiel

Ďalším spôsobom, ako posilniť zabezpečenie hesla účtu, je ukladať do neho hodnoty hash hesiel súbor /etc/shadow. Hashe sú jednosmerné matematické funkcie, ktoré berú heslo ako vstup a vydávajú nevratný reťazec.

Predtým, v systémoch Linux, vždy, keď používateľ zadal svoje heslo na prihlásenie, systém vygeneroval svoj hash a porovnal ho s heslom uloženým v /etc/passwd súbor.

Existuje však problém s prístupom k súboru passwd, to znamená, že ktokoľvek so systémovým prístupom môže čítať súbor a rozlúštiť hash pomocou dúhových tabuliek.

Preto Linux teraz ukladá hash vo vnútri /etc/shadow súbor s nasledujúcou sadou prístupových oprávnení:

ls -l /etc/shadow
 1 koreňový koreň 1626 7. január 13:56 /etc/shadow

Stále je možné nainštalovať Linux so starými spôsobmi ukladania hash. Môžete to zmeniť spustením pwconv príkaz tak, že automaticky uloží hash hesiel do /etc/shadow súbor. Podobne môžete povoliť inú metódu (/etc/passwd súbor) pomocou pwunconv príkaz.

4. Odstráňte nepoužívané používateľské účty

Zlý hráč môže zneužiť nepoužívané účty a účty, ktorých platnosť vypršala, v systéme obnovením účtu a tým, že sa bude javiť ako legitímny používateľ. Ak chcete odstrániť neaktívny účet a súvisiace údaje vždy, keď používateľ opustí organizáciu, najprv nájdite všetky súbory súvisiace s používateľom:

nájsť / -užívateľské meno

Potom deaktivujte účet alebo nastavte dátum vypršania platnosti, ako je uvedené vyššie. Nezabudnite zálohovať súbory, ktoré vlastní používateľ. Môžete sa rozhodnúť priradiť súbory novému vlastníkovi alebo ich odstrániť zo systému.

Nakoniec odstráňte používateľský účet pomocou príkazu userdel.

userdel -f užívateľské meno

5. Obmedzte vzdialený prístup na konkrétnu skupinu používateľov

Ak na svojom počítači so systémom Linux hosťujete webový server, možno budete musieť povoliť vzdialený prístup SSH do systému iba konkrétnym používateľom. OpenSSL vám umožňuje obmedziť používateľov krížovou kontrolou, či patria do špecifickej skupiny.

Na tento účel vytvorte skupinu používateľov s názvom ssh_gp, pridajte používateľov, ktorým chcete udeliť vzdialený prístup do skupiny, a uveďte informácie o skupine používateľov takto:

sudo groupadd ssh_gp
sudo gpasswd - používateľské meno ssh_gp
používateľské meno skupiny

Teraz otvorte hlavný konfiguračný súbor OpenSSL, aby ste zahrnuli povolenú skupinu používateľov ssh_gp.

sudo vim /etc/ssh/sshd_config
AllowGroups ssh_gp

Nezabudnite odkomentovať riadok, aby ste zaistili úspešné zaradenie do skupiny. Po dokončení uložte a ukončite súbor a reštartujte službu:

sudo systemctl reštart sshd

Zachovanie bezpečnosti používateľského účtu v systéme Linux

V súčasnosti väčšina organizácií hostí kritické infraštruktúry, ako sú webové servery, brány firewall a databázy Linux a kompromitácia akéhokoľvek interného komponentu predstavuje významnú hrozbu pre celok infraštruktúry.

Vzhľadom na dôležitosť nastavenia je správa a zabezpečenie používateľských účtov základnou výzvou, ktorej čelia správcovia Linuxu. V tomto článku sú uvedené niektoré bezpečnostné opatrenia, ktoré musí správca účtu vykonať na ochranu systému pred potenciálnymi hrozbami spôsobenými nechránenými používateľskými účtami.

Kompletný sprievodca správou používateľov v systéme Linux

Správa používateľov je kľúčovou úlohou, ktorú by mal ovládať každý správca systému Linux. Tu je konečná príručka pre správu používateľov pre Linux.

Prečítajte si ďalej

zdieľamTweetujteEmail
Súvisiace témy
  • Linux
  • Bezpečnosť
  • Kontrola uživateľského účtu
  • Bezpečnosť
  • Bezpečnostné tipy
O autorovi
Rumaisa Niazi (8 publikovaných článkov)

Rumaisa je spisovateľkou na voľnej nohe v MUO. Nosila veľa klobúkov, od matematičky až po nadšenca informačnej bezpečnosti, a teraz pracuje ako analytička SOC. Medzi jej záujmy patrí čítanie a písanie o nových technológiách, distribúciách Linuxu a všetkom okolo informačnej bezpečnosti.

Viac od Rumaisa Niaziho

prihlásiť sa ku odberu noviniek

Pripojte sa k nášmu bulletinu a získajte technické tipy, recenzie, bezplatné e-knihy a exkluzívne ponuky!

Kliknutím sem sa prihlásite na odber