5 måter å forbedre Linux-brukerkontosikkerheten på

Det første og mest avgjørende skrittet mot å sikre Linux-servere og -systemer er å forhindre ondsinnede parter fra unødvendig tilgang. Riktig brukerkontokontroll er en av mange måter å forbedre systemets sikkerhet på.

En forsterket brukerkonto forhindrer systemet fra de vanligste angrepsmetodene for horisontal eller vertikal rettighetseskalering. Derfor, som Linux-systemadministrator, er du også ansvarlig for å beskytte serveren din via effektive sikkerhetsteknikker.

Denne artikkelen dekker noen grunnleggende sikkerhetskontroller for brukerkontoer for å forhindre unødvendig tilgang og fikse mulige smutthull for systemkompromittering.

1. Begrens tilgang til rotkontoer

Som standard setter hver Linux-systeminstallasjon opp en root-konto som er tilgjengelig for alle fra utsiden via SSH. Imidlertid kan tilgang til root-kontoen via SSH eller flere brukertilgang inne i systemet forårsake avvisningsproblemer.

For eksempel kan en angriper brute force logge på som en root-bruker og få tilgang til systemet.

For å begrense unødvendig root-tilgang fra innsiden/utenfor Linux-systemet, kan du:

• Legg til en annen bruker og gi root-privilegier til den
• Deaktiver SSH-rotpålogging

Opprett en ny superbruker

Til gi sudo- eller root-tillatelser til en vanlig Linux-brukerkonto, legg brukeren til sudo gruppe som følger:

usermod -aG sudo brukernavn

Bytt nå til brukerkontoen ved å bruke su-kommandoen og bekreft rotrettighetene ved å utstede en kommando som bare er tilgjengelig for rotbrukeren:

su - brukernavn
sudo systemctl start sshd på nytt

Å aktivere sudo-tillatelser gir noen gode sikkerhetsfordeler, for eksempel:

• Du trenger ikke å dele root-passord med vanlige brukere.
• Den hjelper deg å sjekke alle kommandoene som kjøres av vanlige brukere, noe som betyr at den lagrer hvem, når og hvor detaljer om kommandoutførelse i /var/log/secure fil.
• Dessuten kan du redigere /etc/sudoers fil for å begrense superbrukertillatelsene til de vanlige brukerne. Du kan bruke kommandoen su -l for å sjekke gjeldende rottillatelser til en bruker.

Deaktiver Root SSH-pålogging

For å deaktivere root SSH-tilgang på systemet, åpner du først hovedkonfigurasjonsfilen.

sudo vim /etc/ssh/sshd_config

Fjern nå følgende linje for å angi rotpåloggingstillatelser Nei:

PermitRootLogin-nr

Lagre filen og start på nytt sshd tjeneste ved å skrive:

sudo systemctl start sshd på nytt

Nå, hver gang du prøver å SSH inn i systemet som en root-bruker, vil du motta følgende feilmelding:

Tillatelse nektet. Prøv igjen.

2. Angi utløpsdatoer på kontoer

En annen effektiv måte å kontrollere unødvendig tilgang på er å angi utløpsdatoer på kontoer som er opprettet for midlertidig bruk.

For eksempel, hvis en praktikant eller en ansatt trenger tilgang til systemet, kan du angi en utløpsdato under kontooppretting. Det er et forholdsregler i tilfelle du glemmer å manuelt fjerne eller slette kontoen etter at de forlater organisasjonen.

Bruke chage kommando med grep-verktøyet for å hente kontoutløpsdetaljer for brukeren:

chage -l brukernavn| grep konto

Produksjon:

Kontoen utløper: aldri

Som vist ovenfor gir den ingen utløpsdato. Bruk nå brukermod kommando med -e flagg for å angi utløpsdatoen i ÅÅÅÅ-MM-DD formater og bekreft endringen ved å bruke chage-kommandoen ovenfor.

usermod -e 2021-01-25 brukernavn
chage -l brukernavn| grep konto

3. Forbedre kontopassordsikkerhet

Å håndheve en sterk passordpolicy er et viktig aspekt ved å sikre brukerkontoer, ettersom svake passord gjør at angripere enkelt kan bryte seg inn i systemene dine via Ren styrke, ordbok eller regnbuetabellangrep.

Å velge et passord som er lett å huske, kan gi en viss bekvemmelighet, men det åpner også for muligheter for angripere til å gjette passord ved hjelp av tilgjengelige verktøy og ordlister på nettet.

Angi passordets utløpsdato

Dessuten tilbyr Linux noen standardalternativer inne /etc/logins.defs fil som lar deg angi aldring av kontopassord. Bruke chage kommando og grep passordutløpsdetaljene som følger:

chage -l brukernavn | grep dager

Variabler	Standardverdi	Bruk	Ideell verdi
PASS_MAX_DAYS	9999	Standard antall dager for å bruke et passord, som avhenger av typen kontooppsett	40
PASS_MIN_DAYS	0	Hindrer brukere fra å endre passord umiddelbart	5
PASS_MIN_LEN	5	Tvinger brukeren til å angi passord av en viss lengde	15
PASS_WARN_AGE	0	Advarer brukeren om å endre passordet før han blir tvunget til det	7

For kontoer som er i bruk, kan du kontrollere passordaldringen ved hjelp av chage kommando for å sette PASS_MAX_DAYS, PASS_MIN_DAYS og PASS_WARN_AGE til 40, 5 og 7.

chage -M 40 -m 5 -W 7 brukernavn

Passord-hasher

En annen måte å herde kontopassordsikkerheten på er å lagre passordhasher inne filen /etc/shadow. Hashes er enveis matematiske funksjoner som tar passordet som en inngang og sender ut en ikke-reversibel streng.

Tidligere, på Linux-systemer, når en bruker skrev inn passordet sitt for å logge på, genererte systemet sin hash og krysssjekket den mot den som var lagret i /etc/passwd fil.

Det er imidlertid et problem med passwd-filtillatelsen, det vil si at alle med systemtilgang kan lese filen og knekke hashen med regnbuetabeller.

Derfor lagrer Linux nå hashen inne i /etc/shadow fil med følgende sett med tilgangstillatelser:

ls -l /etc/shadow
 1 rotrot 1626 7. jan 13:56 /etc/shadow

Det er fortsatt mulig for deg å installere Linux med de gamle måtene å lagre hashes på. Du kan endre det ved å kjøre pwconv kommandoen, slik at den automatisk lagrer passord-hashene til /etc/shadow fil. På samme måte kan du aktivere den andre metoden (/etc/passwd fil) ved å bruke pwunconv kommando.

4. Fjern ubrukte brukerkontoer

En dårlig aktør kan utnytte ubrukte og utløpte kontoer i systemet ved å fornye den kontoen og få den til å fremstå som en legitim bruker. For å fjerne en inaktiv konto og tilhørende data hver gang en bruker forlater organisasjonen, finn først alle filene som er relatert til brukeren:

finn / -bruker brukernavn

Deaktiver deretter kontoen eller angi en utløpsdato som diskutert ovenfor. Ikke glem å sikkerhetskopiere filene som eies av brukeren. Du kan enten velge å tilordne filer til en ny eier eller fjerne dem fra systemet.

Til slutt sletter du brukerkontoen ved å bruke userdel-kommandoen.

userdel -f brukernavn

5. Begrens ekstern tilgang til en spesifikk brukergruppe

Hvis du er vert for en webserver på Linux-maskinen din, må du kanskje bare tillate spesifikke brukere å ekstern SSH inn i systemet. OpenSSL lar deg begrense brukere ved å krysssjekke om de tilhører en bestemt gruppe.

For det, opprett en brukergruppe med navnet ssh_gp, legg til brukerne du vil gi ekstern tilgang til gruppen, og lister opp brukergruppeinformasjonen som følger:

sudo groupadd ssh_gp
sudo gpasswd -et brukernavn ssh_gp
gruppens brukernavn

Åpne nå OpenSSL-hovedkonfigurasjonsfilen for å inkludere den tillatte brukergruppen ssh_gp.

sudo vim /etc/ssh/sshd_config
Tillat grupper ssh_gp

Husk å avkommentere linjen for å sikre vellykket gruppeinkludering. Når du er ferdig, lagre og avslutt filen og start tjenesten på nytt:

sudo systemctl start sshd på nytt

Vedlikeholde brukerkontosikkerhet på Linux

I dag er de fleste organisasjoner vert for kritiske infrastrukturer som webservere, brannmurer og databaser Linux, og kompromittering av enhver intern komponent utgjør en betydelig trussel mot helheten infrastruktur.

Gitt viktigheten av oppsettet, er administrering og sikring av brukerkontoer en grunnleggende utfordring for Linux-administratorer. Denne artikkelen har listet opp noen sikkerhetstiltak en kontoadministrator må ta for å beskytte systemet mot potensielle trusler på grunn av ubeskyttede brukerkontoer.

Den komplette veiledningen til brukeradministrasjon i Linux

Å administrere brukere er en avgjørende oppgave som enhver Linux-systemadministrator bør være dyktig i. Her er den ultimate brukeradministrasjonsveiledningen for Linux.

Les Neste

Om forfatteren