Prvním a nejzásadnějším krokem k zabezpečení linuxových serverů a systémů je zabránění nežádoucím stranám v nevyžádaném přístupu. Správná kontrola uživatelských účtů je jedním z mnoha způsobů, jak zvýšit zabezpečení vašeho systému.
Posílený uživatelský účet brání systému před nejběžnějšími metodami útoku horizontální nebo vertikální eskalace oprávnění. Jako správce systému Linux jste tedy také odpovědní za ochranu svého serveru pomocí účinných bezpečnostních technik.
Tento článek se zabývá některými základními ovládacími prvky zabezpečení uživatelských účtů, které zabraňují zbytečnému přístupu a opravují možné mezery při kompromitaci systému.
1. Omezit přístup k účtu root
Ve výchozím nastavení každá instalace systému Linux nastavuje účet root přístupný komukoli zvenčí prostřednictvím SSH. Přístup k účtu root přes SSH nebo přístup více uživatelů uvnitř systému však může způsobit problémy s odmítnutím.
Útočník se například může hrubou silou přihlásit jako uživatel root a získat přístup do systému.
Chcete-li omezit zbytečný přístup root z vnitřku/vně systému Linux, můžete:
- Přidat dalšího uživatele a udělte mu práva roota
- Zakázat SSH root přihlášení
Vytvořte nového superuživatele
Na udělte oprávnění sudo nebo root k běžnému uživatelskému účtu Linux přidejte uživatele do sudo skupina takto:
usermod -aG sudo uživatelské jméno
Nyní se přepněte na uživatelský účet pomocí příkazu su a ověřte jeho práva root vydáním příkazu přístupného pouze uživateli root:
su - uživatelské jméno
sudo systemctl restart sshd
Povolení oprávnění sudo poskytuje některé dobré bezpečnostní výhody, jako například:
- Hesla root nemusíte sdílet s běžnými uživateli.
- Pomáhá vám kontrolovat všechny příkazy spouštěné běžnými uživateli, což znamená, že ukládá podrobnosti o tom, kdo, kdy a kde o provádění příkazů /var/log/secure soubor.
- Kromě toho můžete upravit /etc/sudoers soubor k omezení oprávnění superuživatele běžných uživatelů. Můžete použít příkaz su -l zkontrolovat aktuální oprávnění uživatele root.
Zakázat přihlášení root SSH
Chcete-li zakázat přístup root SSH ve vašem systému, nejprve otevřete hlavní konfigurační soubor.
sudo vim /etc/ssh/sshd_config
Nyní zrušte odkomentování následujícího řádku pro nastavení oprávnění pro přihlášení uživatele root Ne:
PermitRootLogin č
Uložte soubor a restartujte sshd službu zadáním:
sudo systemctl restart sshd
Nyní, kdykoli se pokusíte připojit SSH do systému jako uživatel root, zobrazí se následující chybová zpráva:
Povolení odepřeno, zkuste to prosím znovu.
2. Nastavte data vypršení platnosti na účtech
Dalším účinným způsobem, jak kontrolovat zbytečný přístup, je nastavit data vypršení platnosti účtů vytvořených pro dočasné použití.
Pokud například stážista nebo zaměstnanec potřebuje přístup do systému, můžete při vytváření účtu nastavit datum vypršení platnosti. Je to preventivní opatření pro případ, že zapomenete ručně odebrat nebo smazat účet poté, co opustí organizaci.
Použijte změna příkaz s nástroj grep k načtení podrobností o vypršení platnosti účtu pro uživatele:
změnit -l uživatelské jméno| účet grep
Výstup:
Platnost účtu vyprší: nikdy
Jak je uvedeno výše, nevydává žádné datum vypršení platnosti. Nyní použijte usermod příkaz s -E příznak pro nastavení data vypršení platnosti v YYYY-MM-DD naformátujte a ověřte změnu pomocí příkazu chage výše.
usermod -e uživatelské jméno 2021-01-25
změnit -l uživatelské jméno| účet grep
3. Vylepšete zabezpečení účtu heslem
Vynucení zásad silných hesel je důležitým aspektem zabezpečení uživatelských účtů, protože slabá hesla umožňují útočníkům snadno proniknout do vašich systémů hrubou silou, slovník nebo útoky na duhovou tabulku.
Volba snadno zapamatovatelného hesla může nabídnout určité pohodlí, ale také otevírá možnosti pro útočníky hádat hesla pomocí online dostupných nástrojů a seznamů slov.
Nastavte datum vypršení platnosti hesla
Kromě toho Linux nabízí některé výchozí možnosti uvnitř /etc/logins.defs soubor, který vám umožní nastavit stárnutí hesla účtu. Použijte změna příkaz a grep podrobnosti o vypršení platnosti hesla takto:
změnit -l uživatelské jméno | grep dnů
Proměnné | Výchozí hodnota | Používání | Ideální hodnota |
---|---|---|---|
PASS_MAX_DAYS | 9999 | Výchozí počet dní pro použití hesla, který závisí na typu nastavení vašeho účtu | 40 |
PASS_MIN_DAYS | 0 | Brání uživatelům v okamžité změně hesla | 5 |
PASS_MIN_LEN | 5 | Přinutí uživatele nastavit hesla určité délky | 15 |
PASS_WARN_AGE | 0 | Varuje uživatele, aby si změnil heslo, než k tomu bude nucen | 7 |
U používaných účtů můžete ovládat stárnutí hesla pomocí změna příkaz k nastavení PASS_MAX_DAYS, PASS_MIN_DAYS a PASS_WARN_AGE na 40, 5 a 7.
změna -M 40 -m 5 -W 7 uživatelské jméno
Hash hesel
Dalším způsobem, jak posílit zabezpečení heslem účtu, je uložit do něj hash hesel soubor /etc/shadow. Hashe jsou jednosměrné matematické funkce, které berou heslo jako vstup a vydávají nevratný řetězec.
Dříve na systémech Linux, kdykoli uživatel zadal své heslo pro přihlášení, systém vygeneroval svůj hash a porovnal jej s heslem uloženým v /etc/passwd soubor.
Existuje však problém s přístupem k souboru passwd, to znamená, že kdokoli se systémovým přístupem může soubor číst a rozlousknout hash pomocí duhových tabulek.
Proto Linux nyní ukládá hash uvnitř /etc/shadow soubor s následující sadou přístupových oprávnění:
ls -l /etc/shadow
1 kořenový kořen 1626 7. ledna 13:56 /etc/shadow
Stále je možné nainstalovat Linux se starými způsoby ukládání hashů. Můžete to upravit spuštěním pwconv příkaz tak, že automaticky uloží hash hesla do /etc/shadow soubor. Podobně můžete povolit jinou metodu (/etc/passwd soubor) pomocí pwunconv příkaz.
4. Odstraňte nepoužívané uživatelské účty
Špatný hráč může zneužít nepoužívané a prošlé účty v systému tím, že tento účet obnoví a bude vypadat jako legitimní uživatel. Chcete-li odebrat neaktivní účet a přidružená data vždy, když uživatel opustí organizaci, nejprve vyhledejte všechny soubory související s uživatelem:
najít / -user uživatelské jméno
Poté deaktivujte účet nebo nastavte datum vypršení platnosti, jak je popsáno výše. Nezapomeňte zálohovat soubory vlastněné uživatelem. Můžete buď přiřadit soubory novému vlastníkovi, nebo je odebrat ze systému.
Nakonec smažte uživatelský účet pomocí příkazu userdel.
userdel -f uživatelské jméno
5. Omezte vzdálený přístup na určitou skupinu uživatelů
Pokud na svém počítači se systémem Linux hostujete webový server, možná budete muset povolit vzdálený přístup SSH do systému pouze konkrétním uživatelům. OpenSSL umožňuje omezit uživatele křížovou kontrolou, zda patří do určité skupiny.
Za tímto účelem vytvořte skupinu uživatelů s názvem ssh_gp, přidejte uživatele, kterým chcete udělit vzdálený přístup do skupiny, a uveďte informace o skupině uživatelů takto:
sudo groupadd ssh_gp
sudo gpasswd -a uživatelské jméno ssh_gp
uživatelské jméno skupiny
Nyní otevřete hlavní konfigurační soubor OpenSSL a zahrňte povolenou skupinu uživatelů ssh_gp.
sudo vim /etc/ssh/sshd_config
AllowGroups ssh_gp
Nezapomeňte odkomentovat řádek, abyste zajistili úspěšné zařazení do skupiny. Po dokončení uložte a ukončete soubor a restartujte službu:
sudo systemctl restart sshd
Údržba zabezpečení uživatelských účtů v systému Linux
V dnešní době většina organizací provozuje kritické infrastruktury, jako jsou webové servery, firewally a databáze Linux a kompromitace jakékoli vnitřní součásti představuje významnou hrozbu pro celek infrastruktura.
Vzhledem k důležitosti nastavení je správa a zabezpečení uživatelských účtů základní výzvou, které musí správci Linuxu čelit. Tento článek uvádí některá bezpečnostní opatření, která musí správce účtu přijmout, aby ochránil systém před potenciálními hrozbami způsobenými nechráněnými uživatelskými účty.
Správa uživatelů je klíčový úkol, ve kterém by měl být každý správce systému Linux zběhlý. Zde je konečný průvodce správou uživatelů pro Linux.
Přečtěte si další
- Linux
- Bezpečnostní
- Kontrola uživatelského účtu
- Bezpečnostní
- Bezpečnostní tipy
Rumaisa je spisovatelkou na volné noze v MUO. Nosila mnoho klobouků, od matematičky po nadšence pro informační bezpečnost, a nyní pracuje jako analytička SOC. Mezi její zájmy patří čtení a psaní o nových technologiích, linuxových distribucích a všem kolem Information Security.
Přihlaste se k odběru našeho newsletteru
Připojte se k našemu zpravodaji a získejte technické tipy, recenze, bezplatné e-knihy a exkluzivní nabídky!
Chcete-li se přihlásit k odběru, klikněte sem