Seguridad del sistema ------- Gestión de seguridad de la cuenta

Others 2020-09-24 11:37:29 views: null

Gestión de cuentas del sistema

Limpieza de cuenta

  • Las cuentas se dividen en usuarios de inicio de sesión y usuarios que no inician sesión: usuarios de
    inicio de sesión: superusuario raíz, usuarios normales creados por ellos mismos y otros usuarios utilizados por otros.
    Usuarios que no inician sesión: una gran cantidad de otros paquetes de cuentas generados con el proceso de instalación del sistema o del programa (como bin, daemon, adm, ip, mail, nobady, apache, mycql, dbus, ftp, gdm, haldaemon, etc.)

  • Para garantizar la seguridad del sistema, los shells de estos usuarios que no inician sesión suelen ser / sbin / nologin, lo que significa que los inicios de sesión de terminal están prohibidos para garantizar que otros no puedan cambiarlos a voluntad.

[root @ localhost ~] #grep “/ sbin / nologin” / etc / passwd ###### Puede ver los usuarios que no inician sesión y que no pueden iniciar sesión

Y algunos de estos usuarios que no inician sesión rara vez se utilizan o no se utilizan en absoluto. Estas cuentas pueden considerarse cuentas redundantes. No se utilizan para nada más que ocupar espacio para la velocidad de arranque, etc., por lo que podemos eliminarlas directamente.

  • Para las cuentas de usuario no utilizadas a largo plazo en el servidor Linux, no estoy seguro de si puedo eliminarlas. Puede bloquearlas temporalmente y eliminarlas más tarde.

Ejemplo:
[root @ localhost ~] #usermod -L xiaojiejie o passwd -l xiaojiejie ######## Bloquear cuenta
[root @ localhost ~] #passwd -S xiaojiejie ######### Ver cuenta Esta bloqueado

[root @ localhost ~] #usermod -U xiaojiejie o passwd -u xiaojiejie ############ Desbloquear cuenta
[root @ localhost ~] #passwd -S xiaojiejie ######### #Compruebe si la cuenta está bloqueada

  • Lo más seguro es bloquear el archivo de configuración de la cuenta. Mientras esté bloqueado, no se puede eliminar si no está desbloqueado. No se pueden agregar cuentas, no se pueden cambiar contraseñas, shells de inicio de sesión, directorios de inicio y otra información de atributos.

[root @ localhost ~] #chattr + i / etc / passwd / etc / shadow ####### Bloquear el archivo
[root @ localhost ~] #lsattr / etc / passwd / etc / shadow ####### #### Verifica el estado del bloqueo
---- i -------- / etc / passwd
---- i -------- / etc / shadow
[root @ localhost ~] #chattr -i / etc / passwd / etc / shadow ######### Desbloquear archivo
[root @ localhost ~] #lsattr / etc / passwd / etc / shadow ########### Bloqueo de vista Estado de
------------- / etc / passwd
------------- / etc / shadow

Configuración de seguridad de la cuenta

En un entorno de red inseguro, para reducir el riesgo de adivinar la contraseña o descifrar la fuerza bruta, los usuarios deben desarrollar el hábito de cambiar las contraseñas con regularidad para evitar usar la misma contraseña durante mucho tiempo. El administrador puede limitar el número máximo de días válidos para la contraseña de un usuario en el lado del servidor. Para los usuarios cuyas contraseñas han caducado, se les pedirá que restablezcan sus contraseñas al iniciar sesión, de lo contrario se negarán a iniciar sesión.
La contraseña es válida por 30 días:
[root @ localhost ~] #vi /etc/login.defs ########### Se aplica a los usuarios recién creados
PASS_MAX_DAYS 30 ######## Agrega este comando
[root @ localhost ~] #chage -M 30 lisi ########### Aplicable a usuarios existentes de lisi

Todos los usuarios deben cambiar uniformemente la nueva contraseña:
[root @ localhost ~] #chage -d 0 xiaojiejie ########## Requiere que la usuaria de la hermana dama debe cambiar la contraseña la próxima vez que inicie sesión

Comando borrar historial

Para evitar que su computadora sea invadida, verifique sus comandos del historial y sabrá qué comandos ha perdido.
Hay dos formas de borrar los comandos del historial:
1. history -C ########## solo puede borrar la hora actual el comando de historial, reiniciar la máquina aparecerá nuevamente
2, ** vi /.bash_profile**#######vi editor /.bash_profile
Exportar HISTSIZE = 0 ###### agregar este comando para reiniciar después Eliminar este comando, en actualizar

Cambio de usuario y escalada de privilegios

La mayoría de los servidores Linux no recomiendan que los usuarios inicien sesión directamente como usuario root. Por un lado, puede reducir en gran medida el daño causado por operaciones incorrectas. Por otro lado, también reduce el riesgo de que se filtren contraseñas privilegiadas en un entorno de red inseguro. Por estas razones, es necesario proporcionar un mecanismo de conmutación de identidad o escalado de privilegios para que los usuarios comunes realicen tareas de administración cuando sea necesario.

su cuenta de cambio de comando

Ejemplo:
[root @ localhost ~] # su-root ############## Cambiar a la
contraseña de la cuenta de root :

La opción "-" significa ingresar al entorno de shell de inicio de sesión del usuario de destino después de cambiar de usuario. Si falta esta opción, solo se cambia la identidad y el entorno de usuario no se cambia. Para cambiar de usuario raíz, se puede omitir la raíz de destino.

  • De forma predeterminada, cualquier usuario puede usar el comando su, que brinda la oportunidad de probar repetidamente la contraseña de inicio de sesión de otros usuarios (como root), lo que conlleva riesgos de seguridad. Para fortalecer el control del uso del comando su, el módulo de autenticación pam_wheel se puede usar para permitir que muy pocos usuarios cambien usando el comando su.
    Ejemplo:
    agregue el usuario kcce autorizado para usar el comando su al grupo de ruedas, modifique la configuración de autenticación /etc/pam.d/su para habilitar la autenticación pam_wheel
    [root @ localhost ~] #gpasswd -a kcce wheel ###### Agregar autorización Usuario kcce
    (mostrar :) Agregar usuario kcce a la rueda de grupo
    [root @ localhost ~] #grep wheel / etc / group ########### Confirmar los miembros del grupo de rueda
    (mostrar :) rueda: x: 10: kcce
    [root @ localhost ~] #vi /etc/pam.d/su ########### Edita el archivo de configuración /etc/pam.d/su
    (display :) #% PAM-1.0
    auth suficiente pam_rootok.so

    auth requiere pam_wheel así que use_uid ############# Elimina el signo # al principio de esta línea

Una vez habilitada la autenticación pam_wheel, otros usuarios que no se hayan agregado al grupo de ruedas no podrán usar el comando su y se mostrará "Permiso denegado" al intentar cambiar.

sudo comando-elevar la autoridad de ejecución

Cuando eres un usuario normal al ejecutar comandos, en ocasiones se te pedirá que no tengas permiso para ejecutar, lo que te hará muy incómodo, por lo que en este momento tienes que cambiar a la cuenta root de superusuario, por lo que debes conocer la contraseña de la cuenta root. Cada vez más personas en el servidor Linux en el entorno conocen la contraseña privilegiada, el riesgo de seguridad aumenta en un punto. En este caso, el administrador no quiere darle la contraseña, pero también le permite tener privilegios para ejecutar comandos. Puede usar sudo Ordenado. (Por supuesto, esto tiene que ser asunto del administrador, él necesita configurarlo)


  • El archivo de configuración para agregar el mecanismo de autorización sudo en el archivo de configuración / etc / sudoers es / etc / sudoers. El permiso predeterminado del archivo es 440, que debe editarse con una visudo herramienta especial.
    También puede usar vi / etc / sudoers para editar el archivo, pero debe realizar la operación obligatoria "wq!" Al guardar; de lo contrario, el sistema solicitará un archivo de solo lectura y se negará a guardar el
    formato: usuario MÁQUINA = COMANDOS
    #: usuario (usuario): nombre de usuario autorizado , O en forma de "% nombre de grupo" (autorizar a todos los usuarios de un grupo)
    #: host (MÁQUINA): nombre de host usando este archivo de configuración, esta parte es principalmente para facilitar el intercambio del mismo archivo sudoers entre múltiples hosts, generalmente Simplemente configúrelo en localhost o el nombre de host real.
    #: Comando (COMANDOS): Comandos autorizados que permiten a los usuarios autorizados ejecutar a través de sudo. Debe completar la ruta completa del programa de comandos, y varios comandos están separados por comas ",".
    1. En un registro de configuración de sudo típico, cada línea corresponde al ejemplo de configuración de autorización de sudo de un usuario o grupo
    :
    para autorizar al usuario Jerry a ejecutar el comando ifconfig para modificar la dirección IP, y los usuarios del grupo de rueda pueden ejecutar el archivo sin verificar la contraseña

[root @ localhost ~] # visudo
(… omitir mucho contenido)
Jerry localhost = / sbin / ifconfig
% wheel (algunos espacios están vacíos) ALL = NOPASSWD: ALL
——————————————— ———————
2. Cuando hay más usuarios con la misma autorización o más comandos autorizados, puede utilizar el alias definido centralizado para establecer.
Ejemplo de usuario (User_Alias), host (Host_Alias), comando (Cmnd_Alias)
:
agregue registros de autorización mediante alias, lo que permite a los usuarios Jerry, tom y kcce ejecutar comandos rpm y yum en hosts smtp y pop

[root @ localhost ~] #visudo
(... omitir parte del contenido)
User_Alias ​​(espacio) OPERATORS = jerry, tom, kcce
Host_Alias ​​(espacio) MAILSVRS = smtp, pop
Cmnd_Alias ​​(espacio) PKGTOOLS = / bin / rpm, / usr / bin / yum
OPERATORS (espacio) MAILSVRS = PKGTOOLS
———————————————————————
3. La parte de comando del registro de configuración de sudo permite el uso del comodín "*" y el símbolo de negación " ! ", especialmente útil cuando necesita autorizar todos los comandos en un directorio o cancelar comandos individuales.
Ejemplo: el
usuario autorizado kkg puede ejecutar todos los demás programas de comando en el directorio / sbin / excepto ifconfig y route

[root @ localhost ~] #visudo
(... omitir parte del contenido)
kkg localhost = / sbin / *,! / sbin / ifconfig,! / sbin / route
————————————————— ——————

4. Si el administrador quiere ver los registros de sudo, debe agregar "Defaults logfile" al archivo / etc / sudoers.
Ejemplo de configuración :
[root @ localhost ~] #visudo
(... se omite parte del contenido)
Defaults logfile = "/ var / log / sudo

  • Ejecute comandos con privilegios a través de sudo
    1. Cuando los usuarios normales ingresen comandos, recibirán un mensaje de que los permisos son insuficientes

[kcce @ localhost ~] $ / sbin / ifconfig egh0 192.168.1.11/24 ####### Si no se usa sudo
SIOCSIFADDR: no hay suficientes permisos
SIOCSIFNETMASK: no hay suficientes permisos
...
[kcce @ localhost ~] $ sudo / sbin / ifconfig egh0 192.168.1.11/24 ######### Al usar sudo
...
passwd para el usuario:

[kcce @ localhost ~] $ / sbin / ifconfig egh0 ########## Ver resultados de ejecución

Cuando ejecutas un comando a través de sudo por primera vez, debes verificar con la propia contraseña del usuario (no la contraseña del usuario root u otros usuarios). Posteriormente, cuando vuelvas a ejecutar el comando a través de sudo, siempre que el intervalo con la operación sudo anterior no exceda los 5 minutos No repita la verificación.

2. Los usuarios autorizados verifican su configuración de sudo, y los usuarios que no están configurados recibirán el mensaje "no pueden ejecutar sudo".
Ejemplo:
[kcce @ localhost ~] $ visudo
… El
usuario kcce puede ejecutar el siguiente comando en el host:
kcce localhost = / sbin / ifconfig

3. Si se ha habilitado el registro de sudo, puede ver el
ejemplo de registro de operación de sudo del usuario desde el archivo / var / log / sudo :
[kcce @ localhost ~] $ tail / var / log / sudo

13 de mayo 09:49:47 : kcce: PTS = el TTY / 0; el PWD = / Home / kcce; el USUARIO = la raíz;
el COMANDO = / sbin / el ifconfig eth0: 0192.168.1.11/24
...

Supongo que te gusta

Origin blog.csdn.net/XCsuperman/article/details/107518596
Recomendado
Clasificación
Diario
Más
2024-04-30(33)
2024-04-29(5)
2024-04-28(9)
2024-04-27(28)
2024-04-26(22)
2024-04-25(34)
2024-04-24(31)
2024-04-23(29)
2024-04-22(5)
2024-04-21(0)

Code World

© 2018 codetd.com