Linux sunucularını ve sistemlerini güvence altına almanın ilk ve en önemli adımı, kötü niyetli tarafların gereksiz erişimlerini engellemektir. Uygun kullanıcı hesabı denetimi, sisteminizin güvenliğini artırmanın birçok yolundan biridir.

Sağlamlaştırılmış bir kullanıcı hesabı, sistemin en yaygın yatay veya dikey ayrıcalık yükseltme saldırı yöntemlerinden korur. Bu nedenle, bir Linux sistem yöneticisi olarak, sunucunuzu etkili güvenlik teknikleri ile korumaktan da siz sorumlusunuz.

Bu makale, gereksiz erişimi önlemek ve sistem güvenliğinin ihlal edilmesi için olası boşlukları düzeltmek için bazı temel kullanıcı hesabı güvenlik kontrollerini kapsar.

1. Kök Hesap Erişimini Kısıtla

Varsayılan olarak, her Linux sistem kurulumu, SSH aracılığıyla dışarıdan herkesin erişebileceği bir kök hesap kurar. Ancak, kök hesaba SSH üzerinden erişim veya sistem içinde birden fazla kullanıcı erişimi, reddedilme sorunlarına neden olabilir.

Örneğin, bir saldırgan, bir kök kullanıcı olarak oturum açmak ve sisteme erişmek için kaba kuvvet uygulayabilir.

Linux sisteminin içinden/dışından gereksiz kök erişimini kısıtlamak için şunları yapabilirsiniz:

  • Başka bir kullanıcı ekle ve ona kök ayrıcalıkları verin
  • SSH kök girişini devre dışı bırak

Yeni Bir Süper Kullanıcı Oluşturun

İle sudo veya kök izinleri ver normal bir Linux kullanıcı hesabına, kullanıcıyı sudo aşağıdaki gibi grup:

usermod -aG sudo kullanıcı adı

Şimdi su komutunu kullanarak kullanıcı hesabına geçin ve yalnızca kök kullanıcı tarafından erişilebilen bir komut vererek kök ayrıcalıklarını doğrulayın:

su - kullanıcı adı
sudo systemctl sshd'yi yeniden başlat

Sudo izinlerini etkinleştirmek, aşağıdakiler gibi bazı iyi güvenlik avantajları sağlar:

  • Kök şifrelerini normal kullanıcılarla paylaşmanız gerekmez.
  • Normal kullanıcılar tarafından çalıştırılan tüm komutları kontrol etmenize yardımcı olur, bu da komut yürütmenin kim, ne zaman ve nerede ayrıntılarını dosyada sakladığı anlamına gelir. /var/log/secure dosya.
  • Ayrıca, düzenleyebilirsiniz /etc/sudoers normal kullanıcıların süper kullanıcı izinlerini sınırlamak için dosya. komutunu kullanabilirsiniz. su -l Bir kullanıcının mevcut kök izinlerini kontrol etmek için.

Kök SSH Girişini Devre Dışı Bırak

Sisteminizde kök SSH erişimini devre dışı bırakmak için önce ana yapılandırma dosyasını açın.

sudo vim /etc/ssh/sshd_config

Şimdi, kök oturum açma izinlerini şu şekilde ayarlamak için aşağıdaki satırı kaldırın: Hayır:

PermitRootGiriş no

Dosyayı kaydedin ve yeniden başlatın sshd yazarak hizmet:

sudo systemctl sshd'yi yeniden başlat

Şimdi, bir kök kullanıcı olarak sisteme SSH'yi her denediğinizde, aşağıdaki hata mesajını alacaksınız:

Erişim izni reddedildi, lütfen tekrar ediniz.

2. Hesaplarda Son Kullanma Tarihlerini Belirleyin

Gereksiz erişimi kontrol etmenin bir başka etkili yolu, geçici kullanım için oluşturulan hesaplara son kullanma tarihleri ​​​​belirlemektir.

Örneğin, bir stajyerin veya bir çalışanın sisteme erişmesi gerekiyorsa, hesap oluşturma sırasında bir son kullanma tarihi belirleyebilirsiniz. Kuruluştan ayrıldıktan sonra hesabı manuel olarak kaldırmayı veya silmeyi unutmanız durumunda bu bir önlemdir.

Kullan değiştirmek ile komut grep yardımcı programı kullanıcı için hesap sona erme ayrıntılarını almak için:

chage -l kullanıcı adı| grep hesabı

Çıktı:

Hesabın süresi doluyor: asla

Yukarıda gösterildiği gibi, son kullanma tarihi vermez. şimdi kullan kullanıcı modu ile komut -e son kullanma tarihini ayarlamak için bayrak YYYY-AA-GG yukarıdaki chage komutunu kullanarak değişikliği biçimlendirin ve doğrulayın.

usermod -e 2021-01-25 kullanıcı adı
chage -l kullanıcı adı| grep hesabı

3. Hesap Parola Güvenliğini İyileştirin

Güçlü bir parola politikası uygulamak, kullanıcı hesaplarının güvenliğini sağlamanın önemli bir yönüdür, çünkü zayıf parolalar, saldırganların, kaba kuvvet, sözlük veya gökkuşağı tablo saldırıları.

Hatırlanması kolay bir parola seçmek biraz kolaylık sağlayabilir, ancak aynı zamanda saldırganların çevrimiçi olarak mevcut araçlar ve kelime listelerinin yardımıyla parolaları tahmin etmeleri için fırsatlar sunar.

Parola Son Kullanma Tarihini Ayarlayın

Ayrıca, Linux içinde bazı varsayılan seçenekler sunar. /etc/logins.defs hesap parolası yaşlanmasını ayarlamanıza izin veren dosya. Kullan değiştirmek Komut ve şifre son kullanma ayrıntılarını aşağıdaki gibi grep yapın:

chage -l kullanıcı adı | grep günleri
Değişkenler Varsayılan değer kullanım İdeal Değer
PASS_MAX_DAYS 9999 Hesap kurulumunuzun türüne bağlı olarak bir parolayı kullanmak için varsayılan gün sayısı 40
PASS_MIN_DAYS 0 Kullanıcıların şifrelerini hemen değiştirmelerini engeller 5
PASS_MIN_LEN 5 Kullanıcıyı belirli uzunlukta parolalar belirlemeye zorlar 15
PASS_WARN_AGE 0 Zorlanmadan önce kullanıcıyı şifreyi değiştirmesi konusunda uyarır 7

Kullanımdaki hesaplar için, şifre eskimesini aşağıdakiler yardımıyla kontrol edebilirsiniz. değiştirmek PASS_MAX_DAYS, PASS_MIN_DAYS ve PASS_WARN_AGE'yi 40, 5 ve 7 olarak ayarlama komutu.

chage -M 40 -m 5 -W 7 kullanıcı adı

Şifre Hash'leri

Hesap parola güvenliğini güçlendirmenin başka bir yolu, parola karmalarını içeride depolamaktır. /etc/shadow dosyası. Hash'ler, parolayı girdi olarak alan ve geri dönüşü olmayan bir dizi çıktısı veren tek yönlü matematiksel fonksiyonlardır.

Daha önce, Linux sistemlerinde, bir kullanıcı oturum açmak için parolasını her girdiğinde, sistem hash'ini oluşturur ve bunu, içinde depolanan ile çapraz kontrol ederdi. /etc/passwd dosya.

Ancak, passwd dosya izni erişimiyle ilgili bir sorun var, yani sistem erişimi olan herkes dosyayı okuyabilir ve gökkuşağı tablolarıyla hash'i kırabilir.

Bu nedenle, Linux artık karmaları /etc/shadow aşağıdaki erişim izinlerine sahip dosya:

ls -l /etc/shadow
 1 kök kök 1626 7 Ocak 13:56 /etc/shadow

Linux'u karma depolamanın eski yöntemleriyle kurmanız hala mümkündür. çalıştırarak bunu değiştirebilirsiniz. pwconv komutu, parola karmalarını otomatik olarak /etc/shadow dosya. Benzer şekilde, diğer yöntemi etkinleştirebilirsiniz (/etc/passwd dosyası) kullanarak pwunconv emretmek.

4. Kullanılmayan Kullanıcı Hesaplarını Kaldır

Kötü bir aktör, sistemdeki kullanılmayan ve süresi dolmuş hesapları, o hesabı yenileyerek ve meşru bir kullanıcı gibi görünmesini sağlayarak istismar edebilir. Bir kullanıcı kuruluştan ayrıldığında etkin olmayan bir hesabı ve ilişkili verileri kaldırmak için önce kullanıcıyla ilgili tüm dosyaları bulun:

/ -user kullanıcı adını bul

Ardından, hesabı devre dışı bırakın veya yukarıda tartışıldığı gibi bir son kullanma tarihi belirleyin. Kullanıcıya ait dosyaların yedeğini almayı unutmayınız. Dosyaları yeni bir sahibe atamayı veya sistemden kaldırmayı seçebilirsiniz.

Son olarak, userdel komutunu kullanarak kullanıcı hesabını silin.

userdel -f kullanıcı adı

5. Belirli Bir Kullanıcı Grubuna Uzaktan Erişimi Kısıtla

Linux makinenizde bir web sunucusu barındırıyorsanız, yalnızca belirli kullanıcıların sisteme uzaktan SSH girmesine izin vermeniz gerekebilir. OpenSSL, belirli bir gruba ait olup olmadıklarını çapraz kontrol ederek kullanıcıları sınırlamanıza olanak tanır.

Bunun için adında bir kullanıcı grubu oluşturun. ssh_gp, gruba uzaktan erişim vermek istediğiniz kullanıcıları ekleyin ve kullanıcı grubu bilgilerini aşağıdaki gibi listeleyin:

sudo groupadd ssh_gp
sudo gpasswd -a kullanıcı adı ssh_gp
gruplar kullanıcı adı

Şimdi, izin verilen kullanıcı grubunu dahil etmek için OpenSSL ana yapılandırma dosyasını açın ssh_gp.

sudo vim /etc/ssh/sshd_config
AllowGroups ssh_gp

Başarılı bir grup katılımı sağlamak için satırın yorumunu kaldırmayı unutmayın. İşiniz bittiğinde dosyayı kaydedip çıkın ve hizmeti yeniden başlatın:

sudo systemctl sshd'yi yeniden başlat

Linux'ta Kullanıcı Hesabı Güvenliğini Koruma

Günümüzde çoğu kuruluş web sunucuları, güvenlik duvarları ve veritabanları gibi kritik altyapıları üzerinde barındırmaktadır. Linux ve herhangi bir dahili bileşenin uzlaşması, bütün için önemli bir tehdit oluşturuyor. altyapı.

Kurulumun önemi göz önüne alındığında, kullanıcı hesaplarını yönetmek ve güvence altına almak, Linux yöneticilerinin karşılaştığı temel bir zorluktur. Bu makalede, korunmayan kullanıcı hesaplarından kaynaklanan olası tehditlere karşı sistemi korumak için bir hesap yöneticisinin alması gereken bazı güvenlik önlemleri listelenmiştir.

Linux'ta Kullanıcı Yönetiminin Eksiksiz Kılavuzu

Kullanıcıları yönetmek, her Linux sistem yöneticisinin yetkin olması gereken çok önemli bir görevdir. İşte Linux için nihai kullanıcı yönetimi kılavuzu.

Sonrakini Oku

PaylaşCıvıldamakE-posta
İlgili konular
  • Linux
  • Güvenlik
  • Kullanıcı Hesap Denetimi
  • Güvenlik
  • Güvenlik İpuçları
Yazar hakkında
Rumaisa Niazi (8 Makale Yayınlandı)

Rumaisa, MUO'da serbest yazar. Bir Matematikçiden Bilgi Güvenliği meraklısına kadar pek çok şapka taktı ve şu anda bir SOC Analisti olarak çalışıyor. İlgi alanları arasında yeni teknolojiler, Linux dağıtımları ve Bilgi Güvenliği ile ilgili her şey hakkında okuma ve yazma yer almaktadır.

Rumaisa Niazi'dan Daha Fazla

Haber bültenimize abone ol

Teknik ipuçları, incelemeler, ücretsiz e-kitaplar ve özel fırsatlar için bültenimize katılın!

Abone olmak için buraya tıklayın