5 cách để cải thiện bảo mật tài khoản người dùng Linux
Bước đầu tiên và quan trọng nhất để bảo mật các máy chủ và hệ thống Linux là ngăn chặn các bên độc hại truy cập không cần thiết. Kiểm soát tài khoản người dùng thích hợp là một trong nhiều cách để tăng cường bảo mật cho hệ thống của bạn.
Một tài khoản người dùng cứng ngăn hệ thống khỏi các phương pháp tấn công phổ biến nhất là leo thang đặc quyền theo chiều ngang hoặc chiều dọc. Do đó, với tư cách là quản trị viên hệ thống Linux, bạn cũng có trách nhiệm bảo vệ máy chủ của mình thông qua các kỹ thuật bảo mật hiệu quả.
Bài viết này trình bày một số biện pháp kiểm soát bảo mật tài khoản người dùng cơ bản để ngăn chặn truy cập không cần thiết và khắc phục các lỗ hổng có thể xảy ra đối với sự xâm phạm hệ thống.
Mục Lục
1. Hạn chế quyền truy cập tài khoản gốc
Theo mặc định, mọi cài đặt hệ thống Linux đều thiết lập một tài khoản gốc cho bất kỳ ai từ bên ngoài có thể truy cập thông qua SSH. Tuy nhiên, quyền truy cập vào tài khoản gốc thông qua SSH hoặc nhiều người dùng truy cập bên trong hệ thống có thể gây ra sự cố thoái thác.
Ví dụ: kẻ tấn công có thể cưỡng bức đăng nhập với tư cách người dùng root và có quyền truy cập vào hệ thống.
Để hạn chế quyền truy cập root không cần thiết từ bên trong / bên ngoài hệ thống Linux, bạn có thể:
Tạo siêu người dùng mới
Để cấp quyền sudo hoặc quyền root cho tài khoản người dùng Linux thông thường, hãy thêm người dùng vào sudo nhóm như sau:
usermod -aG sudo usernameBây giờ, hãy chuyển sang tài khoản người dùng bằng lệnh su và xác minh các đặc quyền gốc của nó bằng cách đưa ra lệnh chỉ người dùng gốc mới có thể truy cập được:
su - username
sudo systemctl restart sshdBật quyền sudo cung cấp một số lợi ích bảo mật tốt, chẳng hạn như:
-
Bạn không cần phải chia sẻ mật khẩu gốc với người dùng thông thường.
-
Nó giúp bạn kiểm tra tất cả các lệnh do người dùng thông thường chạy, có nghĩa là nó lưu trữ thông tin chi tiết về ai, khi nào và ở đâu thực hiện lệnh trong / var / log / secure tập tin.
-
Ngoài ra, bạn có thể chỉnh sửa / etc / sudoers để giới hạn quyền cấp trên của người dùng thông thường. Bạn có thể sử dụng lệnh su -l để kiểm tra quyền root hiện tại của người dùng.
Tắt Đăng nhập SSH gốc
Để vô hiệu hóa quyền truy cập SSH gốc trên hệ thống của bạn, trước tiên, hãy mở tệp cấu hình chính.
sudo vim /etc/ssh/sshd_configBây giờ bỏ ghi chú dòng sau để đặt quyền đăng nhập root thành không:
PermitRootLogin noLưu tệp và khởi động lại sshd dịch vụ bằng cách gõ:
sudo systemctl restart sshdBây giờ, bất cứ khi nào bạn cố gắng SSH vào hệ thống với tư cách là người dùng root, bạn sẽ nhận được thông báo lỗi sau:
Permission denied, please try again.2. Đặt Ngày hết hạn trên tài khoản
Một cách hiệu quả khác để kiểm soát quyền truy cập không cần thiết là đặt ngày hết hạn trên các tài khoản được tạo để sử dụng tạm thời.
Ví dụ: nếu một thực tập sinh hoặc một nhân viên cần quyền truy cập vào hệ thống, bạn có thể đặt ngày hết hạn trong quá trình tạo tài khoản. Đó là một biện pháp phòng ngừa trong trường hợp bạn quên xóa hoặc xóa tài khoản theo cách thủ công sau khi họ rời khỏi tổ chức.
Sử dụng chage lệnh với tiện ích grep để tìm nạp thông tin chi tiết về việc hết hạn tài khoản cho người dùng:
chage -l username| grep account
Đầu ra:
Account expires : neverNhư được hiển thị ở trên, nó xuất ra không có ngày hết hạn. Bây giờ sử dụng usermod lệnh với -e cờ để đặt ngày hết hạn trong YYYY-MM-DD định dạng và xác minh sự thay đổi bằng cách sử dụng lệnh chage ở trên.
usermod -e 2021-01-25 username
chage -l username| grep account3. Cải thiện bảo mật mật khẩu tài khoản
Thực thi chính sách mật khẩu mạnh là một khía cạnh quan trọng của việc bảo mật tài khoản người dùng, vì mật khẩu yếu cho phép kẻ tấn công dễ dàng xâm nhập vào hệ thống của bạn thông qua các cuộc tấn công brute-force, từ điển hoặc bảng cầu vồng.
Chọn một mật khẩu dễ nhớ có thể mang lại một số tiện lợi, nhưng nó cũng mở ra nhiều cơ hội cho những kẻ tấn công đoán mật khẩu với sự trợ giúp của các công cụ và danh sách từ có sẵn trực tuyến.
Đặt ngày hết hạn mật khẩu
Hơn nữa, Linux cung cấp một số tùy chọn mặc định bên trong /etc/logins.defs tệp cho phép bạn thiết lập lão hóa mật khẩu tài khoản. Sử dụng chage lệnh và grep chi tiết hết hạn mật khẩu như sau:
chage -l username | grep days| Biến | Giá trị mặc định | Cách sử dụng | Giá trị lý tưởng |
|---|---|---|---|
| PASS_MAX_DAYS | 9999 | Số ngày mặc định để sử dụng mật khẩu phụ thuộc vào loại thiết lập tài khoản của bạn | 40 |
| PASS_MIN_DAYS | 0 | Ngăn người dùng thay đổi mật khẩu của họ ngay lập tức | 5 |
| PASS_MIN_LEN | 5 | Buộc người dùng đặt mật khẩu có độ dài nhất định | 15 |
| PASS_WARN_AGE | 0 | Cảnh báo người dùng thay đổi mật khẩu trước khi bị buộc phải làm như vậy | 7 |
Đối với các tài khoản đang sử dụng, bạn có thể kiểm soát quá trình lão hóa mật khẩu với sự trợ giúp của chage lệnh để đặt PASS_MAX_DAYS, PASS_MIN_DAYS và PASS_WARN_AGE thành 40, 5 và 7.
chage -M 40 -m 5 -W 7 usernameMật khẩu băm
Một cách khác để tăng cường bảo mật mật khẩu tài khoản là lưu trữ các băm mật khẩu bên trong tệp / etc / shadow. Hàm băm là các hàm toán học một chiều lấy mật khẩu làm đầu vào và xuất ra một chuỗi không thể đảo ngược.
Trước đó, trên các hệ thống Linux, bất cứ khi nào người dùng nhập mật khẩu của họ để đăng nhập, hệ thống sẽ tạo mã băm của nó và kiểm tra chéo nó với mật khẩu được lưu trữ trong / etc / passwd tập tin.
Tuy nhiên, có một vấn đề với quyền truy cập tệp passwd, đó là bất kỳ ai có quyền truy cập hệ thống đều có thể đọc tệp và bẻ khóa băm bằng bảng cầu vồng.
Do đó, Linux hiện lưu các hàm băm bên trong / etc / shadow tệp có tập hợp các quyền truy cập sau:
ls -l /etc/shadow
---------- 1 root root 1626 Jan 7 13:56 /etc/shadowBạn vẫn có thể cài đặt Linux với các cách lưu trữ băm cũ. Bạn có thể sửa đổi điều đó bằng cách chạy pwconv , như vậy nó sẽ tự động lưu các băm mật khẩu vào / etc / shadow tập tin. Tương tự, bạn có thể bật phương pháp khác (/ etc / passwd tệp) bằng cách sử dụng pwunconv yêu cầu.
4. Xóa tài khoản người dùng không sử dụng
Kẻ xấu có thể khai thác các tài khoản không sử dụng và hết hạn trong hệ thống, bằng cách gia hạn tài khoản đó và làm cho tài khoản đó xuất hiện như một người dùng hợp pháp. Để xóa tài khoản không hoạt động và dữ liệu được liên kết bất cứ khi nào người dùng rời khỏi tổ chức, trước tiên, hãy tìm tất cả các tệp liên quan đến người dùng:
find / -user usernameSau đó, vô hiệu hóa tài khoản hoặc đặt ngày hết hạn như đã thảo luận ở trên. Đừng quên sao lưu các tệp do người dùng sở hữu. Bạn có thể chọn gán tệp cho chủ sở hữu mới hoặc xóa chúng khỏi hệ thống.
Cuối cùng, xóa tài khoản người dùng bằng lệnh userdel.
userdel -f username5. Hạn chế quyền truy cập từ xa vào một nhóm người dùng cụ thể
Nếu bạn đang lưu trữ một máy chủ web trên máy Linux của mình, bạn có thể cần chỉ cho phép những người dùng cụ thể truy cập SSH từ xa vào hệ thống. OpenSSL cho phép bạn giới hạn người dùng bằng cách kiểm tra chéo xem họ có thuộc một nhóm cụ thể hay không.
Đối với điều đó, hãy tạo một nhóm người dùng có tên ssh_gp, thêm những người dùng bạn muốn cấp quyền truy cập từ xa vào nhóm và liệt kê thông tin nhóm người dùng như sau:
sudo groupadd ssh_gp
sudo gpasswd -a username ssh_gp
groups usernameBây giờ, hãy mở tệp cấu hình chính OpenSSL để bao gồm nhóm người dùng được phép ssh_gp.
sudo vim /etc/ssh/sshd_config
AllowGroups ssh_gpHãy nhớ bỏ ghi chú dòng để đảm bảo bao gồm nhóm thành công. Khi hoàn tất, hãy lưu và thoát khỏi tệp và khởi động lại dịch vụ:
sudo systemctl restart sshdDuy trì bảo mật tài khoản người dùng trên Linux
Ngày nay, hầu hết các tổ chức đều lưu trữ các cơ sở hạ tầng quan trọng như máy chủ web, tường lửa và cơ sở dữ liệu trên Linux và sự xâm phạm của bất kỳ thành phần bên trong nào đều gây ra mối đe dọa đáng kể cho toàn bộ cơ sở hạ tầng.
Với tầm quan trọng của việc thiết lập, quản lý và bảo mật tài khoản người dùng là một thách thức cơ bản mà các quản trị viên Linux phải đối mặt. Bài viết này đã liệt kê một số biện pháp bảo mật mà quản trị viên tài khoản phải thực hiện để bảo vệ hệ thống khỏi các mối đe dọa tiềm ẩn do tài khoản người dùng không được bảo vệ.
Đọc tiếp
Giới thiệu về tác giả
.jpeg?fit=crop&w=100&h=100)