使用者賬號是計算機使用者的身份憑證或標識,每乙個要訪問系統資源的人,必須憑藉他的使用者賬號才能進入計算機。在linux系統中,提供了多種機制來確保使用者賬號的正當、安全使用。合理地規劃使用者賬號,並合理地分配許可權,是保證linux系統安全的第一步。
1. 清理系統賬號
在linux系統中,一些程式在安裝時會建立特有的使用者和組,這些使用者僅僅用於啟動服務或執行程序,通常是不允許登入的,例如mysql、apache、named、news……。當攻擊者假冒這些使用者或組身份時,往往不易被管理員發現。
對於這些系統賬號,首先要確保他們不能用於登入,也就是要將他們的登入shell設為/sbin/nologin,同時可以考慮將賬號刪除或是鎖定。
根據當前伺服器的具體應用情況,可以將不使用的使用者和組刪除。例如,很少使用的使用者、組包括:news、uucp、games、gopher等。再如,假設伺服器不需要啟用named服務,那麼就可以刪除named使用者、named組;如果不提供ftp服務,就可以刪除ftp使用者、ftp組;……。
如果不確定使用者能否刪除,也可以將使用者鎖定。例:鎖定使用者sync。
[root@bogon ~]# passwd -l sync
推薦採用鎖定的方式。
2. 鎖定賬號檔案
如果確定系統中的賬號已經達到了穩定狀態,不需要再做改動,那麼可以利用chattr命令將賬號檔案/etc/passwd和/etc/shadow鎖定。
[root@bogon ~]# chattr +i /etc/passwd /etc/shadow
[root@bogon ~]# lsattr /etc/passwd /etc/shadow
----i-------- /etc/passwd
----i-------- /etc/shadow
此時再建立使用者就會出現錯誤提示。
[root@bogon ~]# useradd temp
useradd:無法開啟密碼檔案
將檔案解鎖:
[root@bogon ~]# chattr -i /etc/passwd /etc/shadow
[root@bogon ~]# lsattr /etc/passwd /etc/shadow
------------- /etc/passwd
------------- /etc/shadow
3. 設定使用者密碼策略
在linux系統中,設定使用者密碼策略的操作要分為兩種情況:針對新建立的賬號,針對系統中原先已經存在的賬號。
對於新建立的賬號,可以通過修改配置檔案/etc/login.defs來設定密碼策略,該檔案用來定義建立使用者賬號時的預設設定,比如指定使用者的uid和gid的範圍,賬號的過期時間、是否需要建立使用者家目錄等等。
下面是/etc/login.defs檔案的重要引數介紹:
修改該檔案中的設定,只針對新建立的使用者有效。例如限制使用者的密碼有效期(最大天數)為30天,可以將「pass_max_days」的值設為30,那麼所有新建使用者的密碼有效期都將是30天。
對於系統中已經存在的賬號,可以通過chage命令設定密碼策略。
chage命令的常用選項:
-m,設定使用者密碼最長使用時間。
-w,設定使用者密碼過期警告時間。
-d,設定密碼修改時間。
例:將zhangsan的密碼有效期更改為30天。
[root@bogon ~]# chage -m 30 zhangsan
例:將zhangsan的密碼過期警告時間更改為7天。
[root@bogon ~]# chage -w 7 zhangsan
例:強制使用者zhangsan在下次登入時需要更改密碼。
[root@bogon ~]# chage -d 0 zhangsan
4. 設定歷史命令條數
通過執行history命令可以列出以前曾執行過的歷史命令,這也帶來了一定的安全隱患。
假如我們需要將所有使用者的歷史命令記錄條數設定為100條,這需要修改/etc/profile檔案。
/etc/profile檔案用於設定使用者在登入系統時自動執行某些操作,對所有使用者都有效。
例如,我們希望root使用者在每次登出退出時能自動清空歷史命令,可以在使用者家目錄的.bash_logout檔案中新增一條「history –c」命令。
5. 設定終端自動登出
在使用者通過終端登入時,可以設定乙個tmout變數,當超過指定的時間(預設單位為秒)沒有輸入即自動將賬號登出。設定恰當的超時時間,可以有效地避免當管理員不在時其他人員對伺服器的誤操作風險。
設定自動登出仍是需要修改/etc/profile檔案。
例:設定賬號超時10分鐘自動登出。
網路安全系列之培訓筆記整理
邏輯漏洞 多個執行緒競爭同乙個共享 變數 檔案等稱之為條件競爭。那麼什麼情況存在競爭條件?例項 上傳檔案,下面是乙個上傳檔案的例子,上傳檔案之前先校驗許可權 include include include define delay 10000 int main fp fopen fn,a fwrit...
網路安全系列之二十二 Windows使用者賬號加固
1 啟用密碼策略 密碼策略的設定專案如圖所示。下面是為使用者設定安全密碼推薦的操作 2 啟用賬戶鎖定策略 賬戶鎖定策略是指當使用者輸入錯誤密碼的次數達到乙個設定值時,就將此賬戶鎖定。鎖定的賬戶不能再登入,只有等超過指定時間自動解除鎖定或由管理員手動解除鎖定。注意,賬戶鎖定策略對管理員賬戶admini...
網路安全系列之四十 在Linux中設定SET位許可權
雖然通過acl增加了許可權設定的靈活性,但是linux系統中可供設定的許可權只有讀 寫 執行三種,在某些特殊的場合,這可能將無法滿足要求。因而,在linux系統中還提供了幾種特殊的附加許可權,用於為檔案或目錄提供額外的控制方式,可用的附加許可權包括 set位許可權 suid sgid 和粘滯位許可權...