Типы Учетной записи пользователя, Безопасность счетов

Question 1

Я в новинку для мира ведения счетов GNU/Linux. Мне сказали настроить систему для безопасности счетов, кто-то сможет установить меня на правильном пути?

Question 2

Привет это довольно длинно, и я уверен, что другие члены сообщества помогут к нему, но я надеюсь, что это дает Вам хорошую начальную точку.

Безопасность счетов

Самый легкий способ напасть на систему состоит в том, чтобы напасть на него с внутренней части. После того как учетная запись была компромиссом, наиболее распространенное нападение является нападением расширения полномочий, это - то, где поднятый доступ получен, позволив пользователю получить доступ к ресурсам, которые обычно блокировались бы им, распространенный способ для этого для появления состоит в том, где ошибка в части программного обеспечения или неправильной конфигурации используется. Лучший способ минимизировать этот риск состоит в том, чтобы не допустить нежелательных пользователей в систему и защитить учетные записи, чтобы только позволить учетной записи выполнять необходимые задачи, необходимые для той роли учетной записи. Первый шаг в обеспечении учетной записи должен установить модели аутентификации с помощью Сменных модулей аутентификации (PAM).

PAM

Сменные модули аутентификации (PAM) являются централизованной системой аутентификации, используемой в системе Linux. PAM позволяет приложению разгружать аутентификацию к PAM вместо файлов, где информация содержится. Файлы аутентификации PAM найдены в /etc/pam.d/ каждый PAM осведомленный конфигурационный файл найден в pam.d каталог, например, ssh pam директива расположен /etc/pam.d/sshd. Конфигурация содержит ряд директив в формате: module_interface control_flag module_name module_args. PAM использует четыре различных типов интерфейсов модуля, каждый интерфейс модуля обрабатывает другую часть процесса аутентификации:

auth интерфейс модуля аутентифицирует пользователей в наиболее базовом процессе, он проверяет законность пароля.
Account модуль проверяет права доступа и если доступ разрешен (например, пароль истек, заблокированный, время входа в систему учетной записи).
Password модуль изменяет пароль пользователя.
Session модуль обрабатывает сессии пользователя, и справьтесь с задачами, такими как монтирование корневого каталога пользователя.

Модуль может использовать несколько интерфейсов. Весь модуль PAM возвращает любого успешность или неуспешность в результате. Флаги управления для модуля PAM определяют, насколько жизненно важный успешность или неуспешность к полной цели аутентификации пользователя к сервису. Флаги следующие:

required отметьте означают, что модуль должен быть успешным для продолжения. Если модуль перестал работать, пользователю не сообщают, пока все тесты в том интерфейсе не завершены.
requisite флаг подобен необходимому однако, никакие другие модули не вызываются, и пользователю сообщают, приводят ли они немедленно эту проверку к сбою.
sufficient если это успешно выполняется, и никакие необходимые модули не перестали работать затем, пользователь аутентифицируется, и никакие другие проверки не происходят иначе, это продолжается.
optional флаг проигнорирован, если это не единственная ссылка на модули интерфейс.
include флаг включает конфигурацию из другого файла.

Это простые флаги управления и существует много сложных флагов управления, который использует атрибут равные пары управления значением, всесторонний список находится в pam.d страницах справочника.

Типы учетных записей

Существует три основных типа учетных записей: корень, сервис/система и пользователь. Корневая учетная запись может сделать что-либо, например, программное обеспечение ООН/установки или пакеты, изменить конфигурацию, и т.д. базироваться, будет всегда иметь идентификатор пользователя (UID) 0. Имена учетной записи не используются системой вместо этого, UID используется, имена учетной записи только для людей. Технически все учетные записи с UID выше 0 являются нормальными учетными записями однако для управления, которое UID в диапазоне от 0 до 1 000 для сервисных учетных записей, и настраивается в /etc/login.defs. Для создания сервисных учетных записей Вы добавляете –r флаг, useradd –r system_account_name, иначе это будет иметь UID выше 1000. Система Linux не дифференцируется между учетными записями с UID выше и ниже одного thounds, но это делает, когда UID равен нулю, потому что нуль для пользователя root, UID предназначается, чтобы использоваться людьми, чтобы видеть, ли предназначено это, чтобы использоваться человеком или сервисом или приложением.

Управление учетными записями

Чтобы проверить, что только у одного пользователя есть UID нуля, выполняет команду awk –F: ‘($3 == “0”) {print}’ /etc/passwd’ Для блокировки учетной записи выполняет команду passwd –l account_name Для разблокирования учетной записи выполняет команду passwd –u account_name Остановить учетную запись, зарегистрированную в Вас, может простой набор их параметр оболочки в /etc/passwd кому: /sbin/nologin мешать им иметь оболочку таким образом от наличия любого интерактивного доступа. Лучше сделать это через команду вместо того, чтобы редактировать файл. Команда chsh –s SHELL account_name e.g. chsh –s /sbin/nolong /john Для остановки всех пользователей, входящих в систему, можно использовать в своих интересах pam_nologin файл модуля, расположенный в /etc/nologin или /var/run/noloing если этот файл будет существовать затем, то логины будут отклонены, и содержание будет отображено пользователю. Удалите файл, и люди смогут войти в. У Вас должны также быть различные счета на сервис, например, веб-сервис должен работать на своей собственной учетной записи и не учетной записи пользователя

Безопасность пароля

Падение для осуществления политики сильного пароля может привести к пользователю, использующему слабые пароли, такие как password123, слабый пароль очень уязвим для атак перебором. Для осуществления сильного пароля используйте pam_pwquality. Вы использовали бы этот модуль PAM в качестве части директивы в pam конфигурационном файле, расположенном в /etc/security/pwquality.conf и имейте использование PAM password requisite pam_pwquality.so.

Пароли, где первоначально сохранено в /etc/passwd в зашифрованном или хешированном формате. Файл является разделенным двоеточием и содержит имя пользователя, хешированный пароль, UID, Идентификационный номер Группы пользователей (GID), Полное имя, Пользовательский корневой каталог, оболочка входа в систему. Почти каждое приложение использует этот файл для преобразования UID в имена пользователей однако, это также означает, что что-либо видит зашифрованный пароль, которые делают их уязвимыми для словаря или скота для нападений, поскольку они могут быть скопированы в другую систему и взломаны. Если поле пароля показывает x, это означает, что пароли хранятся в /etc/shadow файл. Хранение пароля в отдельном файле означает, что этот теневой файл только читаем пользователю root, таким образом минимизируя риск поставленных под угрозу паролей. Для преобразования системы, которая не использует теневые пароли затем, необходимо выполнить команду pwconv но если необходимо отключить теневые пароли, затем выполненные pwunconv как корень. /etc/shadow файл снова содержит разграниченные поля двоеточия; имя пользователя, хешированный пароль, дни с эпохи последнего изменения пароля, дни до следующего изменения пароля позволяются, за дни до того, как изменение пароля требуется, за дни до уведомления об истечении пароля за дни до того, как учетная запись становится неактивной, дни с эпохи, когда учетная запись истекает, зарезервированная для будущего использования. Эти дополнительные поля в /etc/shadow допускайте большее управление учетными записями в системе Linux. Путем выполнения команды chage –l account_name покажет учетной записи стареющую информацию. chage –M MAX_DAYS определит максимальное количество дней, в течение которых пароль действителен при присоединении имени учетной записи в конец той команды затем, это установит его только для той учетной записи и не в масштабе всей системы. chage –E EXPIRE_DATE account_name команда назначит дату для того, когда учетная запись пользователя больше не будет доступна, дата должна быть в формате YYYY-MM-DD, чтобы разблокировать или установить учетную запись для не истечения набора истечь флаг к отрицательному 1. Для принуждения изменения пароля выполняет команду chage –d 0 account_name. Поскольку полный список проверяет страницу справочника на chage.

Для установки значений по умолчанию редактируют файл /etc/login.defs это - то, где все значения по умолчанию, такие как минимальная длина, максимальный возраст для пароля, минимальный возраст для пароля, пароль, предупреждающий перед паролем, истекают и т.д. Для остановки пользователей, снова использующих их предыдущие пароли, используют интерфейс пароля для pam_pwhistory модуля значениями по умолчанию, он хранит последние десять паролей для учетной записи пользователя в /etc/securityopassword. Для изменения количества пароля помнят изменение помнить переменная и устанавливают его равный количеству паролей как аргумент в pam_pwhistory модуле.

Connor Payne · Accepted Answer · 30 October 2019 в 08:22

Привет это довольно длинно, и я уверен, что другие члены сообщества помогут к нему, но я надеюсь, что это дает Вам хорошую начальную точку.

Безопасность счетов

Самый легкий способ напасть на систему состоит в том, чтобы напасть на него с внутренней части. После того как учетная запись была компромиссом, наиболее распространенное нападение является нападением расширения полномочий, это - то, где поднятый доступ получен, позволив пользователю получить доступ к ресурсам, которые обычно блокировались бы им, распространенный способ для этого для появления состоит в том, где ошибка в части программного обеспечения или неправильной конфигурации используется. Лучший способ минимизировать этот риск состоит в том, чтобы не допустить нежелательных пользователей в систему и защитить учетные записи, чтобы только позволить учетной записи выполнять необходимые задачи, необходимые для той роли учетной записи. Первый шаг в обеспечении учетной записи должен установить модели аутентификации с помощью Сменных модулей аутентификации (PAM).

PAM

Сменные модули аутентификации (PAM) являются централизованной системой аутентификации, используемой в системе Linux. PAM позволяет приложению разгружать аутентификацию к PAM вместо файлов, где информация содержится. Файлы аутентификации PAM найдены в /etc/pam.d/ каждый PAM осведомленный конфигурационный файл найден в pam.d каталог, например, ssh pam директива расположен /etc/pam.d/sshd. Конфигурация содержит ряд директив в формате: module_interface control_flag module_name module_args. PAM использует четыре различных типов интерфейсов модуля, каждый интерфейс модуля обрабатывает другую часть процесса аутентификации:

auth интерфейс модуля аутентифицирует пользователей в наиболее базовом процессе, он проверяет законность пароля.
Account модуль проверяет права доступа и если доступ разрешен (например, пароль истек, заблокированный, время входа в систему учетной записи).
Password модуль изменяет пароль пользователя.
Session модуль обрабатывает сессии пользователя, и справьтесь с задачами, такими как монтирование корневого каталога пользователя.

Модуль может использовать несколько интерфейсов. Весь модуль PAM возвращает любого успешность или неуспешность в результате. Флаги управления для модуля PAM определяют, насколько жизненно важный успешность или неуспешность к полной цели аутентификации пользователя к сервису. Флаги следующие:

required отметьте означают, что модуль должен быть успешным для продолжения. Если модуль перестал работать, пользователю не сообщают, пока все тесты в том интерфейсе не завершены.
requisite флаг подобен необходимому однако, никакие другие модули не вызываются, и пользователю сообщают, приводят ли они немедленно эту проверку к сбою.
sufficient если это успешно выполняется, и никакие необходимые модули не перестали работать затем, пользователь аутентифицируется, и никакие другие проверки не происходят иначе, это продолжается.
optional флаг проигнорирован, если это не единственная ссылка на модули интерфейс.
include флаг включает конфигурацию из другого файла.

Это простые флаги управления и существует много сложных флагов управления, который использует атрибут равные пары управления значением, всесторонний список находится в pam.d страницах справочника.

Типы учетных записей

Существует три основных типа учетных записей: корень, сервис/система и пользователь. Корневая учетная запись может сделать что-либо, например, программное обеспечение ООН/установки или пакеты, изменить конфигурацию, и т.д. базироваться, будет всегда иметь идентификатор пользователя (UID) 0. Имена учетной записи не используются системой вместо этого, UID используется, имена учетной записи только для людей. Технически все учетные записи с UID выше 0 являются нормальными учетными записями однако для управления, которое UID в диапазоне от 0 до 1 000 для сервисных учетных записей, и настраивается в /etc/login.defs. Для создания сервисных учетных записей Вы добавляете –r флаг, useradd –r system_account_name, иначе это будет иметь UID выше 1000. Система Linux не дифференцируется между учетными записями с UID выше и ниже одного thounds, но это делает, когда UID равен нулю, потому что нуль для пользователя root, UID предназначается, чтобы использоваться людьми, чтобы видеть, ли предназначено это, чтобы использоваться человеком или сервисом или приложением.

Управление учетными записями

Чтобы проверить, что только у одного пользователя есть UID нуля, выполняет команду awk –F: ‘($3 == “0”) {print}’ /etc/passwd’ Для блокировки учетной записи выполняет команду passwd –l account_name Для разблокирования учетной записи выполняет команду passwd –u account_name Остановить учетную запись, зарегистрированную в Вас, может простой набор их параметр оболочки в /etc/passwd кому: /sbin/nologin мешать им иметь оболочку таким образом от наличия любого интерактивного доступа. Лучше сделать это через команду вместо того, чтобы редактировать файл. Команда chsh –s SHELL account_name e.g. chsh –s /sbin/nolong /john Для остановки всех пользователей, входящих в систему, можно использовать в своих интересах pam_nologin файл модуля, расположенный в /etc/nologin или /var/run/noloing если этот файл будет существовать затем, то логины будут отклонены, и содержание будет отображено пользователю. Удалите файл, и люди смогут войти в. У Вас должны также быть различные счета на сервис, например, веб-сервис должен работать на своей собственной учетной записи и не учетной записи пользователя

Безопасность пароля

Падение для осуществления политики сильного пароля может привести к пользователю, использующему слабые пароли, такие как password123, слабый пароль очень уязвим для атак перебором. Для осуществления сильного пароля используйте pam_pwquality. Вы использовали бы этот модуль PAM в качестве части директивы в pam конфигурационном файле, расположенном в /etc/security/pwquality.conf и имейте использование PAM password requisite pam_pwquality.so.

Пароли, где первоначально сохранено в /etc/passwd в зашифрованном или хешированном формате. Файл является разделенным двоеточием и содержит имя пользователя, хешированный пароль, UID, Идентификационный номер Группы пользователей (GID), Полное имя, Пользовательский корневой каталог, оболочка входа в систему. Почти каждое приложение использует этот файл для преобразования UID в имена пользователей однако, это также означает, что что-либо видит зашифрованный пароль, которые делают их уязвимыми для словаря или скота для нападений, поскольку они могут быть скопированы в другую систему и взломаны. Если поле пароля показывает x, это означает, что пароли хранятся в /etc/shadow файл. Хранение пароля в отдельном файле означает, что этот теневой файл только читаем пользователю root, таким образом минимизируя риск поставленных под угрозу паролей. Для преобразования системы, которая не использует теневые пароли затем, необходимо выполнить команду pwconv но если необходимо отключить теневые пароли, затем выполненные pwunconv как корень. /etc/shadow файл снова содержит разграниченные поля двоеточия; имя пользователя, хешированный пароль, дни с эпохи последнего изменения пароля, дни до следующего изменения пароля позволяются, за дни до того, как изменение пароля требуется, за дни до уведомления об истечении пароля за дни до того, как учетная запись становится неактивной, дни с эпохи, когда учетная запись истекает, зарезервированная для будущего использования. Эти дополнительные поля в /etc/shadow допускайте большее управление учетными записями в системе Linux. Путем выполнения команды chage –l account_name покажет учетной записи стареющую информацию. chage –M MAX_DAYS определит максимальное количество дней, в течение которых пароль действителен при присоединении имени учетной записи в конец той команды затем, это установит его только для той учетной записи и не в масштабе всей системы. chage –E EXPIRE_DATE account_name команда назначит дату для того, когда учетная запись пользователя больше не будет доступна, дата должна быть в формате YYYY-MM-DD, чтобы разблокировать или установить учетную запись для не истечения набора истечь флаг к отрицательному 1. Для принуждения изменения пароля выполняет команду chage –d 0 account_name. Поскольку полный список проверяет страницу справочника на chage.

Для установки значений по умолчанию редактируют файл /etc/login.defs это - то, где все значения по умолчанию, такие как минимальная длина, максимальный возраст для пароля, минимальный возраст для пароля, пароль, предупреждающий перед паролем, истекают и т.д. Для остановки пользователей, снова использующих их предыдущие пароли, используют интерфейс пароля для pam_pwhistory модуля значениями по умолчанию, он хранит последние десять паролей для учетной записи пользователя в /etc/securityopassword. Для изменения количества пароля помнят изменение помнить переменная и устанавливают его равный количеству паролей как аргумент в pam_pwhistory модуле.

Типы Учетной записи пользователя, Безопасность счетов

1 ответ

Другие вопросы по тегам:

Похожие вопросы: