由于Linux操作系統(tǒng)是一個開放源代碼的免費(fèi)操作系統(tǒng),因此受到越來越多用戶的歡迎�����,隨之其安全問題也備受關(guān)注����。在本文�����,筆者整理了Linux賬號的安全管理具體實(shí)施方法���。
成都創(chuàng)新互聯(lián)服務(wù)項(xiàng)目包括復(fù)興網(wǎng)站建設(shè)、復(fù)興網(wǎng)站制作�、復(fù)興網(wǎng)頁制作以及復(fù)興網(wǎng)絡(luò)營銷策劃等。多年來����,我們專注于互聯(lián)網(wǎng)行業(yè),利用自身積累的技術(shù)優(yōu)勢��、行業(yè)經(jīng)驗(yàn)�����、深度合作伙伴關(guān)系等����,向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案�����,復(fù)興網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟(jì)效益。目前�,我們服務(wù)的客戶以成都為中心已經(jīng)輻射到復(fù)興省份的部分城市,未來相信會繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任��!
對象OS:SunOS, Linux, AIX, HP-UX
一�����、 設(shè)置密碼最小長度
漏洞概述:為了防止密碼遭到暴力破解攻擊(Brute Force Attack)或口令字猜測攻擊(Password Guessing)����,需要檢查密碼最小長度是否被設(shè)置,密碼最小長度未設(shè)置或設(shè)置很短的情況下容易遭受攻擊;
安全對策:需修改密碼策略設(shè)置文件將密碼最小長度設(shè)為8位以上;
安全設(shè)置方法:
- SunOS
1)使用vi編輯器打開"/etc/default/passwd"文件
2)設(shè)置為PASSLENGTH=8
- Linux
1)使用vi編輯器打開"/etc/login.defs"文件
2)設(shè)置為PASS_MIN_LEN 8
- AIX
1)使用vi編輯器打開"/etc/security/user"文件
2)設(shè)置為minlen=8
- HP-UX
1)使用vi編輯器打開"etc/default/security"文件
2)設(shè)置為MIN_PASSWORD_LENGTH=8
二�、 設(shè)置密碼最長使用期限
漏洞概述:如未設(shè)置密碼最長使用期限,一段時間后密碼很可能會泄露��,因而造成攻擊者的非法訪問;
安全對策:修改密碼策略設(shè)置文件����,將密碼最長使用期限設(shè)置為90天(12周);
安全設(shè)置方法:
- SunOS
#cat /etc/default/passwd
MAXWEEKS=12
- Linux
#cat /etc/login.defs
PASS_MAX_DAYS 90
- AIX
#cat /etc/security/user
maxage=12
- HP-UX
#cat /etc/default/security
PASSWORD_MAXDAYS=90
三�、 刪除不必要的賬號
漏洞概述:安裝OS或Package時,默認(rèn)生成的賬號大部分使用默認(rèn)的密碼�,很容易被惡用于口令字猜測攻擊,因此需要確認(rèn)"lp, uucp, nuucp"等默認(rèn)賬號與可疑的特定賬號的存在與否并將其刪除;
安全對策:確認(rèn)目前注冊的賬號情況并將不必要的賬號刪除;
安全設(shè)置方法:
- SunOS, Linux, AIX, HP-UX
i. 確認(rèn)未使用賬號與可疑賬號的存在與否
(* 參考"passwd"文件結(jié)構(gòu))
#cat /etc/passwd
ii. 檢查不使用的默認(rèn)賬號(例如��,lp, uucp, nuucp賬號)
#cat /etc/passwd | grep "lp|uucp|nuucp"
- 通過Log確認(rèn)
i. 通過檢測登錄失敗記錄來確認(rèn)未使用和可疑賬號
#cat /var/adm/loginlog (SunOS, AIX, HP-UX) / #cat /var/log/loginlog (Linux)
#cat /var/adm/authlog (AIX, HP-UX) / #cat /var/log/authlog (SunOS)
#cat /var/adm/sulog (SunOS, AIX, HP-UX) / #cat /var/log/sulog (Linux)
l 通過以上方法確認(rèn)到不必要的賬號時請按以下方法進(jìn)行設(shè)置
- SunOS, Linux HP-UX
i. 確認(rèn)注冊到服務(wù)器的不必要用戶賬號
ii. 通過userdel命令刪除該用戶賬號
#userdel
- AIX
i. 確認(rèn)注冊到服務(wù)器的不必要用戶賬號
ii. 通過rmuser命令刪除該用戶賬號
#rmuser
l 一般需要攔截的默認(rèn)賬號如下:
- adm, lp, sync, shutdown, halt, news, uucp, operator, games, gopher, nfsnobody, squid等。
四��、 管理員組中只保留最少的賬號
漏洞概述:管理系統(tǒng)的root賬號所屬的組擁有系統(tǒng)運(yùn)營文件的訪問權(quán)限����,該組如果疏忽管理,一般用戶有可能會以管理員的權(quán)限非法訪問系統(tǒng)���,進(jìn)行惡意修改或變更等操作���,因此該組需要只保留盡可能少的賬號;
安全對策:將目前注冊到管理員組的不必要賬號刪除;
安全設(shè)置方法:
- SunOS, Linux, HP-UX
#cat /etc/group(* 請參考"group"文件結(jié)構(gòu))
- AIX
#cat /etc/group
system:!:0:root
◆如果管理員組存在不必要的賬號,請參考如下方法進(jìn)行設(shè)置
- SunOS, Linux, HP-UX
i. 使用vi編輯器打開"/etc/group"文件
ii. 刪除注冊在root組的不必要的賬號(例如��,刪除test賬號)
刪除前:root:x:0:root,test;刪除后:root:x:0:root
- AIX
i. 使用vi編輯器打開"/etc/group"文件
ii. 刪除注冊在system組的不必要的賬號(例如����,刪除test賬號)
刪除前:system:!:0:root,test;刪除后:system:!:0:root
五、 禁止不存在賬號的GID
漏洞概要:因疏于對賬號組的管理���,如存在沒有賬號的組時��,該組的文件有可能會泄露向非相關(guān)人員;
*GID(Group Identification):多個用戶為了共享特定的個體而建立的相關(guān)聯(lián)的特定的組���,主要用來處理賬號����,每個用戶可以擁有多個GID����。
安全對策:如存在沒有組員賬號的組時,需及時與管理員溝通并將其刪除;
安全設(shè)置方法:
- SunOS, Linux, HP-UX, AIX
#cat /etc/group(*請參考"group"文件結(jié)構(gòu))
- Linux
#cat /etc/gshadow
*gshadow文件:"shadow"文件中�����,正如用戶賬號的密碼都存儲在內(nèi)一樣�����,通過系統(tǒng)內(nèi)存在的組的密碼信息存儲文件可以設(shè)定組的管理員和成員�,"gshadow"文件內(nèi)的字段結(jié)構(gòu)如下:
[組名:密碼:管理員,管理員……:成員�,成員……]
◆如存在沒有成員賬號的組,請按照以下方式刪除
- SunOS, Linux, AIX, HP-UX
#groupdel
出處:IT????
標(biāo)題:[??? ??] ??? ????�,作者:?????
【譯稿��,合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為.com】
文章名稱:【Linux安全】五步完成Linux賬號的安全管理
地址分享:
http://uogjgqi.cn/article/djspicc.html
