۵ راه برای بهبود امنیت حساب کاربری لینوکس

۵/۵ - (۱۰ امتیاز)

۵ راه برای بهبود امنیت حساب کاربری لینوکس

آیا می خواهید از سیستم لینوکس خود در برابر تهدیدات مختلف ناشی از حساب های کاربری محافظت نشده محافظت کنید؟ در این پست HiVPNچند نکته مفید برای شروع آورده شده است.

اولین و حیاتی ترین گام در جهت ایمن سازی سرورها و سیستم های لینوکس، جلوگیری از دسترسی غیر ضروری طرف های مخرب است. کنترل صحیح حساب کاربری یکی از راه های زیادی برای افزایش امنیت سیستم شماست.

یک حساب کاربری سخت‌شده سیستم را از متداول‌ترین روش‌های حمله برای افزایش امتیاز افقی یا عمودی باز می‌دارد. از این رو، به عنوان یک مدیر سیستم لینوکس، شما همچنین مسئول محافظت از سرور خود از طریق تکنیک های امنیتی موثر هستید.

این مقاله برخی از کنترل‌های امنیتی حساب کاربری را برای جلوگیری از دسترسی غیر ضروری و رفع حفره‌های احتمالی برای به خطر انداختن سیستم پوشش می‌دهد.

۱. دسترسی به حساب ریشه را محدود کنید

به‌طور پیش‌فرض، هر نصب سیستم لینوکس یک حساب کاربری روت ایجاد می‌کند که از طریق SSH برای هر کسی از خارج قابل دسترسی است. با این حال، دسترسی به حساب ریشه از طریق SSH یا دسترسی چند کاربر در داخل سیستم می‌تواند باعث ایجاد مشکلات انکار شود.

به عنوان مثال، یک مهاجم می‌تواند به‌عنوان یک کاربر root وارد سیستم شود و به سیستم دسترسی پیدا کند.

برای محدود کردن دسترسی روت غیر ضروری از داخل/خارج سیستم لینوکس، می‌توانید:

  • کاربر دیگری را اضافه کنید و به آن امتیاز root بدهید
  • ورود به سیستم ریشه SSH را غیرفعال کنید

یک ابرکاربر جدید ایجاد کنید

برای اعطای مجوز sudo یا root به یک حساب کاربری معمولی لینوکس، کاربر را به صورت زیر به گروه sudo اضافه کنید :

اکنون با استفاده از دستور su به حساب کاربری سوئیچ کنید و با صدور فرمانی که فقط برای کاربر اصلی قابل دسترسی است، امتیازات ریشه آن را تأیید کنید:

فعال کردن مجوزهای sudo مزایای امنیتی خوبی را فراهم می کند، مانند:

  • شما نیازی به اشتراک گذاری رمزهای عبور روت با کاربران عادی ندارید.
  • این به شما کمک می کند تا تمام دستورات اجرا شده توسط کاربران معمولی را بررسی کنید، به این معنی که جزئیات اجرای دستور را چه کسی، چه زمانی و کجا در فایل /var/log/secure ذخیره می کند.
  • علاوه بر این، می توانید فایل /etc/sudoers را ویرایش کنید تا مجوزهای superuser کاربران عادی را محدود کنید. می توانید از دستور su -l برای بررسی مجوزهای ریشه فعلی یک کاربر استفاده کنید.

غیرفعال کردن Root SSH Login

برای غیرفعال کردن دسترسی root SSH در سیستم خود، ابتدا فایل پیکربندی اصلی را باز کنید.

اکنون خط زیر را لغو کامنت کنید تا مجوزهای ورود root را روی no تنظیم کنید :

PermitRootLogin no

فایل را ذخیره کنید و سرویس sshd را با تایپ کردن مجدد راه اندازی کنید:

sudo systemctl restart sshd

اکنون، هر زمان که بخواهید به عنوان یک کاربر ریشه، SSH را وارد سیستم کنید، پیام خطای زیر را دریافت خواهید کرد:

Permission denied, please try again.

۲. تاریخ انقضا را در حساب ها تنظیم کنید

یکی دیگر از راه های موثر برای کنترل دسترسی های غیر ضروری، تعیین تاریخ انقضا در حساب های ایجاد شده برای استفاده موقت است.

به عنوان مثال، اگر یک کارآموز یا یک کارمند نیاز به دسترسی به سیستم داشته باشد، می توانید تاریخ انقضا را در طول ایجاد حساب تعیین کنید. این یک اقدام احتیاطی در صورتی است که فراموش کردید پس از خروج آنها از سازمان، به صورت دستی حساب را حذف یا حذف کنید.

از دستور chage با ابزار grep برای واکشی جزئیات انقضای حساب کاربری برای کاربر استفاده کنید:

chage -l username| grep account

خروجی:

Account expires : never

همانطور که در بالا نشان داده شده است، هیچ تاریخ انقضایی ندارد. اکنون از دستور usermod با پرچم -e استفاده کنید تا تاریخ انقضا را در قالب YYYY-MM-DD تنظیم کنید و با استفاده از دستور chage بالا تغییرات را تأیید کنید.

usermod -e 2021-01-25 username

chage -l username| grep account

۳. امنیت رمز عبور حساب را بهبود بخشید

اجرای یک خط مشی رمز عبور قوی یک جنبه مهم در ایمن سازی حساب های کاربری است، زیرا گذرواژه های ضعیف به مهاجمان این امکان را می دهد که به راحتی از طریق حملات brute-force ، فرهنگ لغت یا جدول رنگین کمان به سیستم شما نفوذ کنند.

انتخاب یک رمز عبور آسان برای به خاطر سپردن ممکن است کمی راحت باشد، اما همچنین راه هایی را برای مهاجمان باز می کند تا رمزهای عبور را با کمک ابزارهای آنلاین و فهرست کلمات حدس بزنند.

تعیین تاریخ انقضای رمز عبور

علاوه بر این، لینوکس برخی از گزینه‌های پیش‌فرض را در داخل فایل /etc/ logins.defs ارائه می‌کند که به شما امکان می‌دهد رمز عبور حساب کاربری را تنظیم کنید. از دستور chage استفاده کنید و جزئیات انقضای رمز عبور را به صورت زیر بنویسید:

chage -l username | grep days

برای حساب‌های در حال استفاده، می‌توانید با استفاده از فرمان chage ، پیر شدن رمز عبور را کنترل کنید تا PASS_MAX_DAYS، PASS_MIN_DAYS، و PASS_WARN_AGE را روی ۴۰، ۵، و ۷ تنظیم کنید.

chage -M 40 -m 5 -W 7 username

هش رمز عبور

یکی دیگر از راه‌های سخت‌تر کردن امنیت رمز عبور حساب، ذخیره هش رمز عبور در فایل /etc/shadow است . هش ها توابع ریاضی یک طرفه هستند که رمز عبور را به عنوان ورودی دریافت می کنند و یک رشته غیر قابل برگشت را خروجی می کنند.

پیش از این، در سیستم‌های لینوکس، هر زمان که کاربر رمز عبور خود را برای ورود به سیستم وارد می‌کرد، سیستم هش خود را ایجاد می‌کرد و آن را با رمز ذخیره شده در فایل /etc/passwd/ بررسی می‌کرد .

با این حال، مشکلی در دسترسی به مجوز فایل passwd وجود دارد، یعنی هر کسی که به سیستم دسترسی دارد می تواند فایل را بخواند و هش را با جداول رنگین کمان کرک کند.

از این رو، لینوکس اکنون هش های داخل فایل /etc/shadow را با مجموعه مجوزهای دسترسی زیر ذخیره می کند:

ls -l /etc/shadow

———- ۱ root root 1626 Jan 7 13:56 /etc/shadow

هنوز هم می توانید لینوکس را با روش های قدیمی ذخیره سازی هش نصب کنید. می توانید با اجرای دستور pwconv آن را تغییر دهید ، به طوری که به طور خودکار هش رمز عبور را در فایل /etc/shadow ذخیره می کند. به طور مشابه، می توانید روش دیگر ( فایل /etc/passwd ) را با استفاده از دستور pwunconv فعال کنید.

۴. حساب های کاربری استفاده نشده را حذف کنید

یک بازیگر بد می تواند از حساب های استفاده نشده و منقضی شده در سیستم سوء استفاده کند، با تمدید آن حساب و نشان دادن آن مانند یک کاربر قانونی. برای حذف یک حساب غیرفعال و داده های مرتبط هر زمان که کاربر سازمان را ترک می کند، ابتدا همه فایل های مربوط به کاربر را پیدا کنید:

find / -user username

سپس، حساب را غیرفعال کنید یا تاریخ انقضا را همانطور که در بالا توضیح داده شد تعیین کنید. فراموش نکنید که از فایل های متعلق به کاربر نسخه پشتیبان تهیه کنید. شما می توانید انتخاب کنید که فایل ها را به یک مالک جدید اختصاص دهید یا آنها را از سیستم حذف کنید.

در نهایت با استفاده از دستور userdel حساب کاربری را حذف کنید.

userdel -f username

۵. دسترسی از راه دور را به یک گروه کاربری خاص محدود کنید

اگر یک سرور وب را روی دستگاه لینوکس خود میزبانی می کنید، ممکن است لازم باشد فقط به کاربران خاصی اجازه دهید SSH را از راه دور به سیستم وارد کنند. OpenSSL به شما این امکان را می دهد که کاربران را با بررسی متقاطع اگر متعلق به یک گروه خاص هستند محدود کنید.

برای آن، یک گروه کاربری به نام ssh_gp ایجاد کنید، کاربرانی را که می خواهید به گروه دسترسی از راه دور بدهید اضافه کنید و اطلاعات گروه کاربری را به صورت زیر فهرست کنید:

sudo groupadd ssh_gp

sudo gpasswd -a username ssh_gp

groups username

اکنون، فایل پیکربندی اصلی OpenSSL را باز کنید تا شامل گروه کاربر مجاز ssh_gp باشد.

sudo vim /etc/ssh/sshd_config

AllowGroups ssh_gp

به خاطر داشته باشید که برای اطمینان از گنجاندن موفق گروه، خط را از نظر خارج کنید. پس از اتمام، فایل را ذخیره کرده و از آن خارج شده و سرویس را مجددا راه اندازی کنید:

sudo systemctl restart sshd

حفظ امنیت حساب کاربری در لینوکس

امروزه، بیشتر سازمان‌ها زیرساخت‌های حیاتی مانند سرورهای وب، فایروال‌ها و پایگاه‌های داده را روی لینوکس میزبانی می‌کنند و به خطر افتادن هر یک از اجزای داخلی، تهدید قابل‌توجهی برای کل زیرساخت است.

با توجه به اهمیت راه اندازی، مدیریت و ایمن سازی حساب های کاربری یک چالش اساسی است که مدیران لینوکس با آن مواجه هستند. این مقاله برخی از اقدامات امنیتی را فهرست کرده است که یک مدیر حساب باید برای محافظت از سیستم در برابر تهدیدات احتمالی ناشی از حساب های کاربری محافظت نشده انجام دهد.

نویسنده : Hivpn
تاریخ ارسال : بهمن ۱۹, ۱۴۰۰

نوشته های مرتبط

آخرین مطالب مرتبط با خرید VPN از ما دنبال کنید

کوکی ها را فقط برای یک وب سایت پاک کنیم
اینترنت -
آبان ۱, ۱۴۰۱

کوکی ها را فقط برای یک وب سایت پاک کنیم

۵/۵ - (۱۱ امتیاز) کوکی ها را فقط برای یک وب سایت پاک کنیم پاک کردن کوکی ها از مرورگر شما برای جلوگیری از حملات سایبری، کندی بارگذاری وب سایت و اطمینان از ایمن بودن اطلاعات شخصی شما مهم است. اما گاهی اوقات لازم نیست…

بهترین فضاهای مجازی برای کار و بازی
اینترنت -
آبان ۱, ۱۴۰۱

بهترین فضاهای مجازی برای کار و بازی

۵/۵ - (۱۰ امتیاز) بهترین فضاهای مجازی برای کار و بازی «متا پاها را اعلام کرد» احتمالاً یکی از عناوین عجیب‌تر هفته گذشته از رویداد مجازی صاحب فیس‌بوک، متا کانکت بود. پیشینه: متا میلیاردها دلار برای فضای مجازی خود، Horizon Worlds هزینه کرده است، و با این…

نحوه شناسایی و جلوگیری از برنامه های جعلی
اینترنت -
آبان ۱, ۱۴۰۱

نحوه شناسایی و جلوگیری از برنامه های جعلی

۵/۵ - (۱۰ امتیاز) نحوه شناسایی و جلوگیری از برنامه های جعلی با تلفن‌های هوشمند، می‌توانید برنامه‌هایی را دانلود کنید که کارهای شگفت‌انگیزی را با لمس یک دکمه انجام می‌دهند و اغلب به صورت رایگان. با این حال، سیب های بدی نیز وجود دارند: برنامه…