ユーザー アカウントは、コンピューターのユーザーの資格情報またはシステム リソースにアクセスする各 id では、コンピューターにアクセスする自分のユーザー アカウントに依存する必要があります。 Linux システムでは、さまざまなユーザー アカウントの適切かつ安全な使用を確保するためのメカニズムを提供します。 合理的な計画のユーザー アカウント、および権利の合理的な配分は、Linux システムのセキュリティを確保する上で最初のステップです。
1. クリーン システム アカウント
Linux システムでは、プログラムを作成し一意のユーザーとグループ インストール時に、これらのユーザーはあくまでサービスまたは、実行中のプロセスは通常は Apache、MySQL などのログオンを許可し、という名前の開始とのニュースに. 場合これらのユーザーまたはグループの id を偽造する攻撃者は常に管理者が見つけやすいです。
システム アカウントの最初、彼らはログオン、そのログイン シェルに/sbin/あるを設定できるだけでなく、削除またはロックを検討は使用できませんを確認します。
よると、現在のサーバー アプリケーション ユーザーを使用しないし、グループを削除することができます。 たとえば、少数のユーザー、グループを含む: ニュース、UUCP、ゲーム、Gopher など。 別の例として、サーバーが名前付きのサービスを有効にする必要はありません、名前付きグループの名前付きユーザーを削除することができますと仮定; FTP ユーザーは、FTP グループ; を削除することができます FTP サービスが利用できない場合….
ユーザーを削除できるかどうかがわからない場合、ユーザーをロックすることも。 例: ユーザー同期をロックします。
[root@bogon 〜] # passwd l 同期
ロックをお勧めします。
2. アカウント ファイルをロックします。
システム アカウントが定常状態に達したを変更する必要はありませんと判断、chattr コマンド ロックされたアカウント ファイル/etc/passwd と/等/影を使用できます。
[root@bogon 〜] # chattr + 私は/etc/passwd/etc/シャドウ
[root@bogon 〜] # lsattr/etc/passwd/etc/シャドウ
—i—/etc/passwd
—i—/etc/シャドウ
その後、ユーザー エラーのプロンプトが表示されます。
[root@bogon 〜] # useradd temp
Useradd: パスワード ファイルを開くことができません
ファイルのロックを解除。
[root@bogon 〜] # chattr -i/etc/passwd/etc/シャドウ
[root@bogon 〜] # lsattr/etc/passwd/etc/シャドウ
—/etc/passwd
—/etc/シャドウ
3. ユーザーのパスワード ポリシーを設定します。
Linux システムは、2 つのタイプに分けられるユーザーのパスワード ポリシーを設定する操作: システムに既に存在するアカウントによると、新しく作成されたアカウントの。
新しく作成されたのパスワード ポリシーを設定する account,/etc/login.defs は、構成ファイルを変更することができます、アカウントの有効期限の設定、ユーザー アカウントを作成するとき、ユーザーの UID と GID の範囲を指定するなど、既定の設定を定義するこのファイルを使用すると、ユーザーのホーム ディレクトリを作成する必要があるかどうか。
The/etc/login.defs ファイルは以下の重要なパラメーターです。
新しく作成したユーザーに対してのみ、このファイル内の設定を変更します。 たとえば、ユーザーのパスワードの有効期限を制限 (日) 30 日”PASS_MAX_DAYS”を設定できる値はすべての新しいユーザーのパスワードの有効期限は 30 日間、30 に設定されて。
システムに既に存在するアカウント、chage コマンドでパスワード ポリシーを設定できます。
Chage コマンドは、通常のオプションを使用します。
-M は、パスワードの最長時間を設定します。
-W は、ユーザー パスワードの有効期限の警告時間を設定します。
-D、パスワードの設定が変更されます。
例: zhangsan 変更パスワードは 30 日間有効です。
[root@bogon 〜] # チャゲ M 30 zhangsan
例: zhangsan パスワード有効期限警告時間 7 日間。
[root@bogon 〜] # チャゲ W 7 zhangsan
例: zhangsan 強制的にユーザーは次回ログオン時パスワードを変更する必要があります。
[root@bogon 〜] # チャゲ -d 0 zhangsan
4. コマンド履歴数を設定します。
歴史コマンド リストの前に実行したコマンドを実行すると、また、特定のセキュリティ リスクをもたらします。
すべてのユーザーのコマンド ヒストリ レコード番号が必要な場合は、/etc/profile ファイルを変更する必要がある 100 に設定されます。
/Etc/profile ファイルを使用して、ユーザーが特定のアクションを実行するシステムにログオンがすべてのユーザーに対して有効な場合に自動的に設定します。
たとえば、ユーザー ホーム ディレクトリ。 bash_logout ファイルの追加”の歴史-c”コマンド、歴史コマンドを空にするを終了するログオフするときに自動的にルート ユーザーしたいです。
b
5 セット端末は自動的にログオフします。
TMOUT 変数、指定された以上の場合を設定できます端子を通じてユーザーがログオン、アカウントが自動的にログオフした時間 (既定の単位は秒) が入力されていません。 適切なタイムアウトを設定は、管理者がサーバーの悪用のリスクを他人事でないときを効率的に回避することができます。
まだ、/etc/profile ファイルを変更する必要がありますログオフを自動的に設定します。
例: アカウント設定 10 分自動的にログオフされます。
Leave a Reply