5 τρόποι για να βελτιώσετε την ασφάλεια λογαριασμού χρήστη Linux

Το πρώτο και πιο κρίσιμο βήμα για την ασφάλεια των διακομιστών και συστημάτων Linux είναι η αποτροπή της μη απαιτούμενης πρόσβασης από κακόβουλα μέρη. Ο σωστός έλεγχος λογαριασμού χρήστη είναι ένας από τους πολλούς τρόπους για να βελτιώσετε την ασφάλεια του συστήματός σας.

Ένας σκληρυμένος λογαριασμός χρήστη αποτρέπει το σύστημα από τις πιο συνηθισμένες μεθόδους επίθεσης οριζόντιας ή κάθετης κλιμάκωσης προνομίων. Ως εκ τούτου, ως διαχειριστής συστήματος Linux, είστε επίσης υπεύθυνος για την προστασία του διακομιστή σας μέσω αποτελεσματικών τεχνικών ασφαλείας.

Αυτό το άρθρο καλύπτει ορισμένους βασικούς ελέγχους ασφαλείας λογαριασμού χρήστη για την αποφυγή περιττής πρόσβασης και τη διόρθωση πιθανών κενών για παραβίαση του συστήματος.

1. Περιορίστε την πρόσβαση σε ριζικό λογαριασμό

Από προεπιλογή, κάθε εγκατάσταση συστήματος Linux δημιουργεί έναν λογαριασμό root προσβάσιμο σε οποιονδήποτε από το εξωτερικό μέσω SSH. Ωστόσο, η πρόσβαση στον λογαριασμό root μέσω SSH ή πρόσβαση πολλαπλών χρηστών εντός του συστήματος μπορεί να προκαλέσει προβλήματα απόρριψης.

Για παράδειγμα, ένας εισβολέας μπορεί να κάνει ωμή βία για να συνδεθεί ως χρήστης root και να αποκτήσει πρόσβαση στο σύστημα.

Για να περιορίσετε την περιττή πρόσβαση root από μέσα/έξω από το σύστημα Linux, μπορείτε:

• Προσθήκη άλλου χρήστη και να του εκχωρήσετε δικαιώματα root
• Απενεργοποιήστε τη ρίζα σύνδεσης SSH

Δημιουργήστε έναν νέο υπερχρήστη

Προς το παραχωρήστε δικαιώματα sudo ή root σε έναν κανονικό λογαριασμό χρήστη Linux, προσθέστε τον χρήστη στο sudo ομάδα ως εξής:

usermod -aG όνομα χρήστη sudo

Τώρα μεταβείτε στον λογαριασμό χρήστη χρησιμοποιώντας την εντολή su και επαληθεύστε τα δικαιώματα root εκδίδοντας μια εντολή που είναι προσβάσιμη μόνο στον χρήστη root:

su - όνομα χρήστη
sudo systemctl επανεκκίνηση sshd

Η ενεργοποίηση των δικαιωμάτων sudo παρέχει ορισμένα καλά πλεονεκτήματα ασφαλείας, όπως:

• Δεν χρειάζεται να μοιράζεστε κωδικούς πρόσβασης root με τακτικούς χρήστες.
• Σας βοηθά να ελέγχετε όλες τις εντολές που εκτελούνται από τακτικούς χρήστες, πράγμα που σημαίνει ότι αποθηκεύει τις λεπτομέρειες του ποιος, πότε και πού για την εκτέλεση εντολών στο /var/log/secure αρχείο.
• Επιπλέον, μπορείτε να επεξεργαστείτε το /etc/sudoers αρχείο για τον περιορισμό των δικαιωμάτων υπερχρήστη των τακτικών χρηστών. Μπορείτε να χρησιμοποιήσετε την εντολή su -l για να ελέγξετε τα τρέχοντα δικαιώματα root ενός χρήστη.

Απενεργοποιήστε τη σύνδεση Root SSH

Για να απενεργοποιήσετε την πρόσβαση root SSH στο σύστημά σας, πρώτα ανοίξτε το κύριο αρχείο διαμόρφωσης.

sudo vim /etc/ssh/sshd_config

Τώρα αφαιρέστε το σχόλιο της ακόλουθης γραμμής για να ορίσετε τα δικαιώματα σύνδεσης root όχι:

PermitRootLogin αρ

Αποθηκεύστε το αρχείο και επανεκκινήστε το sshd υπηρεσία πληκτρολογώντας:

sudo systemctl επανεκκίνηση sshd

Τώρα, κάθε φορά που προσπαθείτε να εισάγετε SSH στο σύστημα ως χρήστης root, θα λάβετε το ακόλουθο μήνυμα λάθους:

Η άδεια απορρίφθηκε, δοκιμάστε ξανά.

2. Ορίστε ημερομηνίες λήξης σε λογαριασμούς

Ένας άλλος αποτελεσματικός τρόπος για να ελέγξετε την περιττή πρόσβαση είναι να ορίσετε ημερομηνίες λήξης σε λογαριασμούς που έχουν δημιουργηθεί για προσωρινή χρήση.

Για παράδειγμα, εάν ένας ασκούμενος ή ένας υπάλληλος χρειάζεται πρόσβαση στο σύστημα, μπορείτε να ορίσετε μια ημερομηνία λήξης κατά τη δημιουργία λογαριασμού. Είναι ένα προληπτικό μέτρο σε περίπτωση που ξεχάσετε να καταργήσετε ή να διαγράψετε με μη αυτόματο τρόπο τον λογαριασμό αφού φύγουν από τον οργανισμό.

Χρησιμοποιήστε το αλλαγή εντολή με το βοηθητικό πρόγραμμα grep για να λάβετε στοιχεία λήξης λογαριασμού για τον χρήστη:

chage -l όνομα χρήστη| λογαριασμός grep

Παραγωγή:

Λήγει ο λογαριασμός: ποτέ

Όπως φαίνεται παραπάνω, δεν βγάζει ημερομηνία λήξης. Τώρα χρησιμοποιήστε το usermod εντολή με το -μι σημαία για να ορίσετε την ημερομηνία λήξης στο ΕΕΕΕ-ΜΜ-ΗΗ μορφοποιήστε και επαληθεύστε την αλλαγή χρησιμοποιώντας την παραπάνω εντολή chage.

usermod -e 2021-01-25 όνομα χρήστη
chage -l όνομα χρήστη| λογαριασμός grep

3. Βελτιώστε την ασφάλεια κωδικού πρόσβασης λογαριασμού

Η επιβολή μιας πολιτικής ισχυρών κωδικών πρόσβασης είναι μια σημαντική πτυχή της ασφάλειας των λογαριασμών χρηστών, καθώς οι αδύναμοι κωδικοί πρόσβασης επιτρέπουν στους εισβολείς να εισβάλλουν εύκολα στα συστήματά σας μέσω ωμής βίαςεπιθέσεις, λεξικού ή πίνακα ουράνιου τόξου.

Η επιλογή ενός εύκολου στην απομνημόνευση κωδικού πρόσβασης μπορεί να προσφέρει κάποια ευκολία, αλλά ανοίγει επίσης ευκαιρίες στους εισβολείς να μαντέψουν τους κωδικούς πρόσβασης με τη βοήθεια διαθέσιμων διαδικτυακών εργαλείων και λιστών λέξεων.

Ορίστε την ημερομηνία λήξης του κωδικού πρόσβασης

Επιπλέον, το Linux προσφέρει κάποιες προεπιλεγμένες επιλογές μέσα /etc/logins.defs αρχείο που σας επιτρέπει να ορίσετε τον κωδικό παλαίωσης του λογαριασμού. Χρησιμοποιήστε το αλλαγή εντολή και grep τα στοιχεία λήξης του κωδικού πρόσβασης ως εξής:

chage -l όνομα χρήστη | grep ημέρες

Μεταβλητές	Προεπιλεγμένη τιμή	Χρήση	Ιδανική Αξία
PASS_MAX_DAYS	9999	Ο προεπιλεγμένος αριθμός ημερών για τη χρήση κωδικού πρόσβασης που εξαρτάται από τον τύπο της ρύθμισης του λογαριασμού σας	40
PASS_MIN_DAYS	0	Εμποδίζει τους χρήστες να αλλάξουν αμέσως τον κωδικό πρόσβασής τους	5
PASS_MIN_LEN	5	Αναγκάζει το χρήστη να ορίσει κωδικούς πρόσβασης συγκεκριμένου μήκους	15
PASS_WARN_AGE	0	Προειδοποιεί τον χρήστη να αλλάξει τον κωδικό πρόσβασης πριν αναγκαστεί να το κάνει	7

Για τους εν χρήση λογαριασμούς, μπορείτε να ελέγξετε τη γήρανση του κωδικού πρόσβασης με τη βοήθεια του αλλαγή εντολή για να ορίσετε PASS_MAX_DAYS, PASS_MIN_DAYS και PASS_WARN_AGE σε 40, 5 και 7.

chage -M 40 -m 5 -W 7 όνομα χρήστη

Κατακερματισμοί κωδικών πρόσβασης

Ένας άλλος τρόπος για να σκληρύνετε την ασφάλεια του κωδικού πρόσβασης λογαριασμού είναι να αποθηκεύσετε τους κατακερματισμούς κωδικών πρόσβασης μέσα το αρχείο /etc/shadow. Οι κατακερματισμοί είναι μονόδρομες μαθηματικές συναρτήσεις που λαμβάνουν τον κωδικό πρόσβασης ως είσοδο και εξάγουν μια μη αναστρέψιμη συμβολοσειρά.

Παλαιότερα, στα συστήματα Linux, κάθε φορά που ένας χρήστης εισήγαγε τον κωδικό πρόσβασής του για να συνδεθεί, το σύστημα δημιουργούσε τον κατακερματισμό του και τον διασταύρωνε με αυτόν που ήταν αποθηκευμένος στο /etc/passwd αρχείο.

Ωστόσο, υπάρχει πρόβλημα με την πρόσβαση στα δικαιώματα του αρχείου passwd, δηλαδή, οποιοσδήποτε έχει πρόσβαση στο σύστημα μπορεί να διαβάσει το αρχείο και να σπάσει τον κατακερματισμό με πίνακες ουράνιου τόξου.

Ως εκ τούτου, το Linux αποθηκεύει τώρα τους κατακερματισμούς μέσα στο /etc/shadow αρχείο με το ακόλουθο σύνολο δικαιωμάτων πρόσβασης:

ls -l /etc/shadow
 1 root root 1626 Jan 7 13:56 /etc/shadow

Είναι ακόμα δυνατό να εγκαταστήσετε το Linux με τους παλιούς τρόπους αποθήκευσης hashes. Μπορείτε να το τροποποιήσετε εκτελώντας το pwconv εντολή, έτσι ώστε να αποθηκεύει αυτόματα τους κατακερματισμούς του κωδικού πρόσβασης στο /etc/shadow αρχείο. Ομοίως, μπορείτε να ενεργοποιήσετε την άλλη μέθοδο (/etc/passwd αρχείο) χρησιμοποιώντας το pwunconv εντολή.

4. Κατάργηση αχρησιμοποίητων λογαριασμών χρηστών

Ένας κακός ηθοποιός μπορεί να εκμεταλλευτεί αχρησιμοποίητους και ληγμένους λογαριασμούς στο σύστημα, ανανεώνοντας αυτόν τον λογαριασμό και κάνοντάς τον να φαίνεται ως νόμιμος χρήστης. Για να αφαιρέσετε έναν ανενεργό λογαριασμό και συσχετισμένα δεδομένα κάθε φορά που ένας χρήστης αποχωρεί από τον οργανισμό, πρώτα, βρείτε όλα τα αρχεία που σχετίζονται με τον χρήστη:

βρείτε / -όνομα χρήστη

Στη συνέχεια, απενεργοποιήστε τον λογαριασμό ή ορίστε μια ημερομηνία λήξης όπως συζητήθηκε παραπάνω. Μην ξεχάσετε να δημιουργήσετε αντίγραφα ασφαλείας των αρχείων που ανήκουν στον χρήστη. Μπορείτε είτε να επιλέξετε να εκχωρήσετε αρχεία σε έναν νέο κάτοχο είτε να τα αφαιρέσετε από το σύστημα.

Τέλος, διαγράψτε τον λογαριασμό χρήστη χρησιμοποιώντας την εντολή userdel.

userdel -f όνομα χρήστη

5. Περιορίστε την απομακρυσμένη πρόσβαση σε μια συγκεκριμένη ομάδα χρηστών

Εάν φιλοξενείτε έναν διακομιστή ιστού στον υπολογιστή σας Linux, ίσως χρειαστεί να επιτρέψετε μόνο σε συγκεκριμένους χρήστες να απομακρυνθούν το SSH στο σύστημα. Το OpenSSL σάς επιτρέπει να περιορίζετε τους χρήστες ελέγχοντας εάν ανήκουν σε μια συγκεκριμένη ομάδα.

Για αυτό, δημιουργήστε μια ομάδα χρηστών με το όνομα ssh_gp, προσθέστε τους χρήστες που θέλετε να παραχωρήσετε απομακρυσμένη πρόσβαση στην ομάδα και καταχωρίστε τις πληροφορίες της ομάδας χρηστών ως εξής:

sudo groupπροσθήκη ssh_gp
sudo gpasswd -ένα όνομα χρήστη ssh_gp
όνομα χρήστη ομάδων

Τώρα, ανοίξτε το κύριο αρχείο διαμόρφωσης OpenSSL για να συμπεριλάβετε την επιτρεπόμενη ομάδα χρηστών ssh_gp.

sudo vim /etc/ssh/sshd_config
AllowGroups ssh_gp

Θυμηθείτε να αφαιρέσετε το σχολιασμό της γραμμής για να διασφαλίσετε την επιτυχή συμπερίληψη της ομάδας. Όταν τελειώσετε, αποθηκεύστε και βγείτε από το αρχείο και επανεκκινήστε την υπηρεσία:

sudo systemctl επανεκκίνηση sshd

Διατήρηση της ασφάλειας λογαριασμού χρήστη στο Linux

Σήμερα, οι περισσότεροι οργανισμοί φιλοξενούν κρίσιμες υποδομές όπως διακομιστές ιστού, τείχη προστασίας και βάσεις δεδομένων Το Linux και ο συμβιβασμός οποιουδήποτε εσωτερικού στοιχείου αποτελεί σημαντική απειλή για το σύνολο υποδομή.

Δεδομένης της σημασίας της εγκατάστασης, η διαχείριση και η ασφάλεια των λογαριασμών χρηστών είναι μια θεμελιώδης πρόκληση που αντιμετωπίζουν οι διαχειριστές Linux. Αυτό το άρθρο απαριθμεί ορισμένα μέτρα ασφαλείας που πρέπει να λάβει ο διαχειριστής του λογαριασμού για να προστατεύσει το σύστημα από πιθανές απειλές λόγω μη προστατευμένων λογαριασμών χρηστών.

Ο πλήρης οδηγός για τη διαχείριση χρηστών στο Linux

Η διαχείριση χρηστών είναι μια κρίσιμη εργασία στην οποία κάθε διαχειριστής συστήματος Linux πρέπει να είναι ικανός. Εδώ είναι ο απόλυτος οδηγός διαχείρισης χρηστών για Linux.

Διαβάστε Επόμενο

Σχετικά με τον Συγγραφέα