Ensimmäinen ja tärkein askel kohti Linux-palvelimien ja -järjestelmien turvaamista on estää haitallisia osapuolia pääsemästä tarpeettomasti. Asianmukainen käyttäjätilien valvonta on yksi monista tavoista parantaa järjestelmäsi turvallisuutta.

Vahvistettu käyttäjätili estää järjestelmää yleisimmistä hyökkäysmenetelmistä, jotka ovat vaaka- tai pystysuora oikeuksien eskalaatio. Siksi Linux-järjestelmänvalvojana olet myös vastuussa palvelimesi suojaamisesta tehokkaiden suojaustekniikoiden avulla.

Tämä artikkeli kattaa joitain käyttäjätilin perussuojaustoimintoja tarpeettoman käytön estämiseksi ja mahdollisten porsaanreikien korjaamiseksi järjestelmän vaarantumisen vuoksi.

1. Rajoita päätilin käyttöoikeutta

Oletuksena jokainen Linux-järjestelmäasennus määrittää päätilin, jota kuka tahansa voi käyttää ulkopuolelta SSH: n kautta. Pääsy juuritilille SSH: n kautta tai usean käyttäjän käyttö järjestelmän sisällä voi kuitenkin aiheuttaa kieltäytymisongelmia.

Hyökkääjä voi esimerkiksi raa'alla voimalla kirjautua sisään pääkäyttäjänä ja päästä järjestelmään.

instagram viewer

Voit rajoittaa tarpeettomia pääkäyttäjän oikeuksia Linux-järjestelmän sisältä/ulkopuolelta:

  • Lisää toinen käyttäjä ja myöntää sille pääkäyttäjän oikeudet
  • Poista SSH-juurikirjautuminen käytöstä

Luo uusi pääkäyttäjä

Vastaanottaja myöntää sudo- tai root-oikeudet tavalliseen Linux-käyttäjätiliin, lisää käyttäjä tilille sudo ryhmittele seuraavasti:

usermod -aG sudo käyttäjätunnus

Vaihda nyt käyttäjätiliin komennolla su ja varmista sen pääkäyttäjän oikeudet antamalla komento, joka on vain pääkäyttäjän käytettävissä:

su - käyttäjätunnus
sudo systemctl käynnistä sshd uudelleen

Sudo-oikeuksien ottaminen käyttöön tarjoaa hyviä turvallisuusetuja, kuten:

  • Sinun ei tarvitse jakaa pääkäyttäjän salasanoja tavallisten käyttäjien kanssa.
  • Se auttaa sinua tarkistamaan kaikki tavallisten käyttäjien suorittamat komennot, mikä tarkoittaa, että se tallentaa kuka, milloin ja missä tiedot komennon suorittamisesta /var/log/secure tiedosto.
  • Lisäksi voit muokata /etc/sudoers tiedosto rajoittaaksesi tavallisten käyttäjien pääkäyttäjän oikeuksia. Voit käyttää komentoa su -l tarkistaaksesi käyttäjän nykyiset pääkäyttäjän oikeudet.

Poista Root SSH -kirjautuminen käytöstä

Jos haluat poistaa pääkäyttäjän SSH-käytön järjestelmästäsi, avaa ensin päämääritystiedosto.

sudo vim /etc/ssh/sshd_config

Poista nyt kommentit seuraavalta riviltä asettaaksesi pääkäyttäjän kirjautumisoikeudet ei:

PermitRootLogin no

Tallenna tiedosto ja käynnistä se uudelleen sshd palvelu kirjoittamalla:

sudo systemctl käynnistä sshd uudelleen

Nyt, kun yrität SSH: ta järjestelmään root-käyttäjänä, saat seuraavan virhesanoman:

Lupa evätty, yritä uudelleen.

2. Aseta vanhenemispäivät tileille

Toinen tehokas tapa hallita tarpeettomia käyttöoikeuksia on asettaa vanhenemispäivät tilapäiseen käyttöön luoduille tileille.

Jos esimerkiksi harjoittelija tai työntekijä tarvitsee pääsyn järjestelmään, voit asettaa vanhenemispäivän tilin luomisen yhteydessä. Se on varotoimi siltä varalta, että unohdat poistaa tai poistaa tilin manuaalisesti sen jälkeen, kun he ovat lähteneet organisaatiosta.

Käytä chage komento kanssa grep-apuohjelma noutaaksesi käyttäjän tilin vanhenemistiedot:

chage -l käyttäjätunnus| grep-tili

Lähtö:

Tili vanhenee: ei koskaan

Kuten yllä näkyy, se ei anna viimeistä käyttöpäivää. Käytä nyt usermod komennon kanssa -e lippu asettaa viimeinen käyttöpäivä VVVV-KK-PP muotoile ja vahvista muutos käyttämällä yllä olevaa chage-komentoa.

usermod -e 2021-01-25 käyttäjätunnus
chage -l käyttäjätunnus| grep-tili

3. Paranna tilin salasanasuojausta

Vahvan salasanakäytännön noudattaminen on tärkeä osa käyttäjätilien suojaamista, sillä heikkojen salasanojen avulla hyökkääjät voivat murtautua helposti järjestelmiisi raaka voima, sanakirja- tai sateenkaaripöytähyökkäykset.

Helposti muistettavan salasanan valitseminen saattaa tarjota käyttömukavuutta, mutta se avaa myös hyökkääjille mahdollisuuksia arvata salasanoja verkossa saatavilla olevien työkalujen ja sanalistojen avulla.

Aseta salasanan viimeinen voimassaolopäivä

Lisäksi Linux tarjoaa joitain oletusasetuksia sisällä /etc/logins.defs tiedosto, jonka avulla voit asettaa tilin salasanan ikääntymisen. Käytä chage komento ja grep salasanan vanhenemistiedot seuraavasti:

chage -l käyttäjätunnus | grep päivää
Muuttujat Oletusarvo Käyttö Ihanteellinen arvo
PASS_MAX_DAYS 9999 Salasanan oletuspäivien määrä, joka riippuu tilisi asetusten tyypistä 40
PASS_MIN_DAYS 0 Estää käyttäjiä vaihtamasta salasanaansa välittömästi 5
PASS_MIN_LEN 5 Pakottaa käyttäjän asettamaan tietyn pituiset salasanat 15
PASS_WARN_AGE 0 Varoittaa käyttäjää vaihtamaan salasana ennen kuin hänet pakotetaan tekemään niin 7

Käytössä olevien tilien osalta voit hallita salasanan ikääntymistä chage komento asettaa PASS_MAX_DAYS, PASS_MIN_DAYS ja PASS_WARN_AGE arvoiksi 40, 5 ja 7.

chage -M 40 -m 5 -W 7 käyttäjätunnus

Salasanatiivisteet

Toinen tapa vahvistaa tilin salasanasuojausta on tallentaa salasanan tiivisteet sisään /etc/shadow-tiedosto. Hashit ovat yksisuuntaisia ​​matemaattisia funktioita, jotka ottavat salasanan syötteenä ja tulostavat ei-palauttavan merkkijonon.

Aiemmin Linux-järjestelmissä aina, kun käyttäjä syötti salasanansa kirjautuakseen sisään, järjestelmä loi hajautuskoodinsa ja vertasi sen tallennettuun salasanaan. /etc/passwd tiedosto.

Passwd-tiedoston käyttöoikeuksissa on kuitenkin ongelma, eli kuka tahansa, jolla on järjestelmän käyttöoikeudet, voi lukea tiedoston ja murtaa hashin sateenkaaritaulukoiden avulla.

Siksi Linux tallentaa nyt tiivisteet sisälle /etc/shadow tiedosto, jolla on seuraavat käyttöoikeudet:

ls -l /etc/shadow
 1 juurijuuri 1626 7. tammikuuta 13:56 /etc/shadow

Voit edelleen asentaa Linuxin vanhoilla tiivistetallennustavoilla. Voit muokata sitä suorittamalla pwconv -komentoa siten, että se tallentaa salasanan hajautusarvot automaattisesti /etc/shadow tiedosto. Samalla tavalla voit ottaa käyttöön toisen menetelmän (/etc/passwd tiedosto) käyttämällä pwunconv komento.

4. Poista käyttämättömät käyttäjätilit

Huono toimija voi hyödyntää käyttämättömiä ja vanhentuneita tilejä järjestelmässä uusimalla tilin ja saamalla sen näyttämään lailliselta käyttäjältä. Jos haluat poistaa passiivisen tilin ja siihen liittyvät tiedot aina, kun käyttäjä poistuu organisaatiosta, etsi ensin kaikki käyttäjään liittyvät tiedostot:

etsi / -käyttäjätunnus

Poista sitten tili käytöstä tai aseta viimeinen voimassaolopäivä edellä kuvatulla tavalla. Älä unohda varmuuskopioida käyttäjän omistamia tiedostoja. Voit joko määrittää tiedostot uudelle omistajalle tai poistaa ne järjestelmästä.

Poista lopuksi käyttäjätili userdel-komennolla.

userdel -f käyttäjätunnus

5. Rajoita etäkäyttö tiettyyn käyttäjäryhmään

Jos isännöit web-palvelinta Linux-koneellasi, saatat joutua sallimaan vain tietyt käyttäjät SSH: n etäkäyttöön järjestelmään. OpenSSL: n avulla voit rajoittaa käyttäjiä tarkistamalla, kuuluvatko he tiettyyn ryhmään.

Tätä varten luo käyttäjäryhmä nimeltä ssh_gp, lisää käyttäjät, joille haluat myöntää etäkäyttöoikeuden ryhmään, ja luettele käyttäjäryhmän tiedot seuraavasti:

sudo groupadd ssh_gp
sudo gpasswd - käyttäjänimi ssh_gp
ryhmien käyttäjätunnus

Avaa nyt OpenSSL-pääkonfiguraatiotiedosto sisällyttääksesi sallittu käyttäjäryhmä ssh_gp.

sudo vim /etc/ssh/sshd_config
AllowGroups ssh_gp

Muista poistaa rivin kommentit varmistaaksesi onnistuneen ryhmän sisällyttämisen. Kun olet valmis, tallenna ja sulje tiedosto ja käynnistä palvelu uudelleen:

sudo systemctl käynnistä sshd uudelleen

Käyttäjätilien suojauksen ylläpitäminen Linuxissa

Nykyään useimmat organisaatiot isännöivät kriittisiä infrastruktuureja, kuten verkkopalvelimia, palomuureja ja tietokantoja Linux, ja minkä tahansa sisäisen komponentin kompromissi muodostaa merkittävän uhan kokonaisuudelle infrastruktuuria.

Asennuksen tärkeyden vuoksi käyttäjätilien hallinta ja suojaaminen on perushaaste Linux-järjestelmänvalvojille. Tässä artikkelissa on lueteltu joitakin suojaustoimenpiteitä, jotka tilin järjestelmänvalvojan on toteutettava suojatakseen järjestelmää suojaamattomien käyttäjätilien aiheuttamilta mahdollisilta uhilta.

Täydellinen opas käyttäjien hallintaan Linuxissa

Käyttäjien hallinta on ratkaiseva tehtävä, johon jokaisen Linux-järjestelmänvalvojan tulee osata. Tässä on lopullinen Linuxin käyttäjänhallintaopas.

Lue Seuraava

JaaTweetSähköposti
Liittyvät aiheet
  • Linux
  • Turvallisuus
  • Käyttäjätilien valvonta
  • Turvallisuus
  • Turvallisuusvinkkejä
Kirjailijasta
Rumaisa Niazi (8 artikkelia julkaistu)

Rumaisa on freelance-kirjoittaja MUO: ssa. Hän on käyttänyt monia hattuja matemaatikosta tietoturvaharrastajaan, ja hän työskentelee nyt SOC-analyytikkona. Hänen kiinnostuksensa kuuluu lukeminen ja kirjoittaminen uusista teknologioista, Linux-jakeluista ja kaikesta tietoturvaan liittyvästä.

Lisää Rumaisa Niazilta

tilaa uutiskirjeemme

Liity uutiskirjeemme saadaksesi teknisiä vinkkejä, arvosteluja, ilmaisia ​​e-kirjoja ja eksklusiivisia tarjouksia!

Klikkaa tästä tilataksesi