הצעד הראשון והמכריע ביותר לקראת אבטחת שרתי ומערכות לינוקס הוא מניעת גישה בלתי נדרשת מצד גורמים זדוניים. בקרת חשבון משתמש נכונה היא אחת מהדרכים הרבות לשפר את אבטחת המערכת שלך.

חשבון משתמש מוקשח מונע מהמערכת את שיטות ההתקפה הנפוצות ביותר של הסלמה אופקית או אנכית של הרשאות. לפיכך, כמנהל מערכת לינוקס, אתה גם אחראי להגנה על השרת שלך באמצעות טכניקות אבטחה יעילות.

מאמר זה מכסה כמה בקרות אבטחה בסיסיות של חשבון משתמש כדי למנוע גישה מיותרת ולתקן פרצות אפשריות לפגיעה במערכת.

1. הגבל גישה לחשבון בסיס

כברירת מחדל, כל התקנת מערכת לינוקס מגדירה חשבון שורש הנגיש לכל אחד מבחוץ באמצעות SSH. עם זאת, גישה לחשבון השורש באמצעות SSH או גישה מרובה של משתמשים בתוך המערכת עלולה לגרום לבעיות דחייה.

לדוגמה, תוקף יכול להתחבר כמשתמש שורש ולקבל גישה למערכת.

כדי להגביל גישת שורש מיותרת מבפנים/מחוץ למערכת לינוקס, אתה יכול:

  • הוסף משתמש נוסף ולהעניק לו הרשאות שורש
  • השבת את הכניסה לשורש SSH

צור משתמש-על חדש

ל הענק הרשאות sudo או root לחשבון משתמש רגיל של לינוקס, הוסף את המשתמש ל- סודו קבוצה כדלקמן:

usermod -aG sudo שם משתמש

כעת עבור לחשבון המשתמש באמצעות הפקודה su ואמת את הרשאות השורש שלו על ידי הוצאת פקודה הנגישה רק למשתמש השורש:

instagram viewer 

su - שם משתמש
sudo systemctl הפעל מחדש את sshd

הפעלת הרשאות sudo מספקת כמה יתרונות אבטחה טובים, כגון:

  • אינך צריך לשתף סיסמאות שורש עם משתמשים רגילים.
  • זה עוזר לך לבדוק את כל הפקודות המופעלות על ידי משתמשים רגילים, מה שאומר שהוא מאחסן את מי, מתי והיכן פרטי ביצוע הפקודה ב- /var/log/secure קוֹבֶץ.
  • חוץ מזה, אתה יכול לערוך את /etc/sudoers קובץ כדי להגביל את הרשאות משתמש העל של המשתמשים הרגילים. אתה יכול להשתמש בפקודה סו -ל כדי לבדוק את הרשאות השורש הנוכחיות של משתמש.

השבת Root SSH Login

כדי לבטל גישת שורש SSH במערכת שלך, ראשית, פתח את קובץ התצורה הראשי.

sudo vim /etc/ssh/sshd_config

כעת בטל את ההערה בשורה הבאה כדי להגדיר להן הרשאות כניסה לשורש לא:

PermitRootLogin מס

שמור את הקובץ והפעל מחדש את sshd שירות על ידי הקלדה:

sudo systemctl הפעל מחדש את sshd

כעת, בכל פעם שאתה מנסה להכניס SSH למערכת כמשתמש שורש, תקבל את הודעת השגיאה הבאה:

ההרשאה נדחתה, אנא נסה שוב.

2. הגדר תאריכי תפוגה בחשבונות

דרך יעילה נוספת לשלוט בגישה מיותרת היא להגדיר תאריכי תפוגה בחשבונות שנוצרו לשימוש זמני.

לדוגמה, אם מתמחה או עובד זקוק לגישה למערכת, תוכל להגדיר תאריך תפוגה במהלך יצירת החשבון. זהו אמצעי זהירות למקרה שתשכח להסיר או למחוק את החשבון באופן ידני לאחר שהם עוזבים את הארגון.

להשתמש ב שינוי פקודה עם כלי השירות grep כדי להביא פרטי תפוגה של חשבון עבור המשתמש:

chage -l שם משתמש| חשבון grep

תְפוּקָה:

תוקף החשבון פג: לעולם לא

כפי שמוצג לעיל, אין לו תאריך תפוגה. כעת השתמש ב- usermod פקודה עם ה דגל כדי להגדיר את תאריך התפוגה ב- YYYY-MM-DD לעצב ולאמת את השינוי באמצעות הפקודה chage למעלה.

usermod -e 2021-01-25 שם משתמש
chage -l שם משתמש| חשבון grep

3. שפר את אבטחת סיסמאות החשבון

אכיפת מדיניות סיסמאות חזקה היא היבט חשוב באבטחת חשבונות משתמש, שכן סיסמאות חלשות מאפשרות לתוקפים לפרוץ בקלות למערכות שלך באמצעות בכוח הזרועהתקפות שולחן, מילון או קשת בענן.

בחירת סיסמה קלה לזכור עשויה להציע נוחות מסוימת, אך היא גם פותחת דרכים להזדמנויות לתוקפים לנחש סיסמאות בעזרת כלים זמינים מקוונים ורשימות מילים.

הגדר תאריך תפוגה של סיסמה

יתר על כן, לינוקס מציעה כמה אפשרויות ברירת מחדל בפנים /etc/logins.defs קובץ המאפשר לך להגדיר הזדקנות סיסמת חשבון. להשתמש ב שינוי הפקודה וגריפ את פרטי תפוגת הסיסמה באופן הבא:

chage -l שם משתמש | ימי grep
משתנים ערך ברירת מחדל נוֹהָג ערך אידיאלי
PASS_MAX_DAYS 9999 מספר הימים המוגדר כברירת מחדל לשימוש בסיסמה, תלוי בסוג הגדרת החשבון שלך 40
PASS_MIN_DAYS 0 מונע ממשתמשים לשנות את הסיסמה שלהם באופן מיידי 5
PASS_MIN_LEN 5 מאלץ את המשתמש להגדיר סיסמאות באורך מסוים 15
PASS_WARN_AGE 0 מזהיר את המשתמש לשנות את הסיסמה לפני שייאלץ לעשות זאת 7

עבור חשבונות בשימוש, אתה יכול לשלוט בהזדקנות הסיסמה בעזרת ה שינוי פקודה כדי להגדיר את PASS_MAX_DAYS, PASS_MIN_DAYS ו-PASS_WARN_AGE ל-40, 5 ו-7.

chage -M 40 -m 5 -W 7 שם משתמש

גיבוב סיסמה

דרך נוספת להקשיח את אבטחת סיסמאות החשבון היא לאחסן גיבוב של סיסמאות בפנים הקובץ /etc/shadow. Hashs הן פונקציות מתמטיות חד-כיווניות שלוקחות את הסיסמה כקלט ומוציאות מחרוזת בלתי הפיכה.

מוקדם יותר, במערכות לינוקס, בכל פעם שמשתמש הזין את הסיסמה שלו כדי להיכנס, המערכת יצרה את ה-hash שלו והצליבה אותו מול זה המאוחסן ב- /etc/passwd קוֹבֶץ.

עם זאת, יש בעיה בגישה להרשאת קובץ passwd, כלומר כל מי שיש לו גישה למערכת יכול לקרוא את הקובץ ולפצח את ה-hash עם טבלאות קשת בענן.

לפיכך, לינוקס שומרת כעת את ה-hashים בתוך /etc/shadow קובץ עם קבוצת הרשאות הגישה הבאה:

ls -l /etc/shadow
 שורש 1 1626 7 ינואר 13:56 /etc/shadow

עדיין אפשר להתקין את לינוקס עם הדרכים הישנות של אחסון hashes. אתה יכול לשנות זאת על ידי הפעלת ה pwconv הפקודה, כך שהיא תשמור אוטומטית את ה-hash של הסיסמה ב- /etc/shadow קוֹבֶץ. באופן דומה, אתה יכול להפעיל את השיטה האחרת (/etc/passwd קובץ) באמצעות ה pwunconv פקודה.

4. הסר חשבונות משתמשים שאינם בשימוש

שחקן גרוע יכול לנצל חשבונות שאינם בשימוש ופג תוקפם במערכת, על ידי חידוש החשבון והפיכתו להיראות כמשתמש לגיטימי. כדי להסיר חשבון לא פעיל ונתונים משויכים בכל פעם שמשתמש עוזב את הארגון, ראשית, מצא את כל הקבצים הקשורים למשתמש:

מצא / -שם משתמש

לאחר מכן, השבת את החשבון או הגדר תאריך תפוגה כפי שנדון לעיל. אל תשכח לגבות את הקבצים שבבעלות המשתמש. אתה יכול לבחור להקצות קבצים לבעלים חדש או להסיר אותם מהמערכת.

לבסוף, מחק את חשבון המשתמש באמצעות הפקודה userdel.

userdel -f שם משתמש

5. הגבל גישה מרחוק לקבוצת משתמשים ספציפית

אם אתה מארח שרת אינטרנט במחשב הלינוקס שלך, ייתכן שיהיה עליך לאפשר רק למשתמשים ספציפיים לבצע SSH מרחוק למערכת. OpenSSL מאפשר לך להגביל משתמשים על ידי בדיקה צולבת אם הם שייכים לקבוצה מסוימת.

לשם כך, צור קבוצת משתמשים בשם ssh_gp, הוסף את המשתמשים שברצונך להעניק גישה מרחוק לקבוצה, ורשום את פרטי קבוצת המשתמשים באופן הבא:

sudo groupadd ssh_gp
sudo gpasswd -שם משתמש ssh_gp
שם המשתמש של הקבוצה

כעת, פתח את קובץ התצורה הראשי של OpenSSL כדי לכלול את קבוצת המשתמשים המותרת ssh_gp.

sudo vim /etc/ssh/sshd_config
AllowGroups ssh_gp

זכור לבטל את ההערות על השורה כדי להבטיח הכללת קבוצה מוצלחת. בסיום, שמור וצא מהקובץ והפעל מחדש את השירות:

sudo systemctl הפעל מחדש את sshd

שמירה על אבטחת חשבון משתמש בלינוקס

כיום, רוב הארגונים מארחים תשתיות קריטיות כמו שרתי אינטרנט, חומות אש ומסדי נתונים לינוקס, וההתפשרות של כל רכיב פנימי מהווה איום משמעותי על המכלול תַשׁתִית.

בהתחשב בחשיבות ההגדרה, ניהול ואבטחת חשבונות משתמש הוא אתגר מהותי העומד בפני מנהלי לינוקס. מאמר זה פירט כמה אמצעי אבטחה שמנהל חשבון חייב לנקוט כדי להגן על המערכת מפני איומים פוטנציאליים עקב חשבונות משתמש לא מוגנים.

המדריך המלא לניהול משתמשים בלינוקס

ניהול משתמשים הוא משימה חיונית שכל מנהל מערכת לינוקס צריך להיות מיומן בה. להלן המדריך האולטימטיבי לניהול משתמשים עבור לינוקס.

קרא הבא

לַחֲלוֹקצִיוּץאימייל
נושאים קשורים
  • לינוקס
  • בִּטָחוֹן
  • בקרת חשבון משתמש
  • בִּטָחוֹן
  • עצות אבטחה
על הסופר
רומאיסה ניאזי (8 מאמרים שפורסמו)

Rumaisa היא סופרת עצמאית ב-MUO. היא חבשה כובעים רבים, ממתמטיקאית ועד חובבת אבטחת מידע, וכעת היא עובדת כאנליסטית SOC. תחומי העניין שלה כוללים קריאה וכתיבה על טכנולוגיות חדשות, הפצות לינוקס וכל דבר סביב אבטחת מידע.

עוד מ-Rumaisa Niazi

הירשם לניוזלטר שלנו

הצטרף לניוזלטר שלנו לקבלת טיפים טכניים, ביקורות, ספרים אלקטרוניים בחינם ומבצעים בלעדיים!

לחץ כאן כדי להירשם