賬戶安全是系統安全的第一道防線,通過洗掉不必要的用戶以及對登錄進行加密與限制,可以避免因權限泄露與中間人攻擊導致的安全隱患,
洗掉不必要的用戶
在linux系統安裝程序中,系統會建立一些不必要的用戶與用戶組,這些用戶與用戶組會成為黑客攻擊的目標,洗掉它們可以有利于系統的安全,
Linux中可以洗掉的默認用戶有:
- adm:偽用戶,不可登錄,擁有賬戶檔案
- lp:偽用戶,不可登錄,lp或lpd子系統使用
- sync
- shutdown
- halt
- news
- uucp:偽用戶,不可登錄,uucp使用
- operator
- games
- gopher
Linux中可以洗掉的默認用戶組有:
- adm
- lp
- news
- uucp
- games
- dip
- pppusers
- popusers
- slipusers
通過sudo限制su的濫用
出于系統安全的目的,一般服務器都會限制root用戶的直接登錄,而是通過普通用戶登錄系統,然后從普通用戶切換至root用戶,但允許太多普通用戶使用su切換至root用戶會提高密碼泄露的風險,因此在需要多人管理的服務器系統中,使用su不是一個很好的選擇,root用戶密碼應當只被掌握在少數管理員的手中,
使用sudo可以給普通用戶分配一些root用戶的權限,而且也不需要普通用戶知曉root用戶的密碼,
sudo的運行程序如下:
- 將當前用戶切換至root用戶或指定的用戶下
- 以root用戶或指定用戶的身份執行命令
- 執行完畢,直接退回普通用戶
sudo可以通過組態檔/etc/sudoers來進行授權
例如普通用戶user01無法訪問/etc/shadow檔案,
則可以在/etc/sudoers檔案中添加如下一行來為普通用戶授權:
user01 ALL = /bin/more /etc/shadow
這樣,user01用戶就可以通過more命令訪問/etc/shadow檔案,
當用戶執行了sudo more /etc/shadow命令后,需要輸入user01的密碼,然后在后面三分鐘內,都可以在不用輸入密碼的情況下訪問檔案了,
但一些程式會無法通過輸入密碼的方式來正確執行,我們就需要給普通用戶添加一個無需憑證的權限,
例如,讓普通用戶user01具有/etc/init.d/nagios腳本重啟的權限,可以在/etc/sudoers檔案中添加如下一行來為普通用戶授權:
user01 ALL = NOPASSWD: /etc/init.d/nagios restart
關閉不必要的服務
在安裝完成后,Linux系結了很多不必要的服務,這些服務都默認自動啟動的,關閉它們可以提高系統的安全性,
但關閉哪些服務,要根據服務器的用途而定,例如某臺用于WWW的應用,那么除了httpd外和系統的必要服務外都可以關閉,
以下服務如果不會被用到,可以關閉:
- anacron:用于定期檢測服務器在關機狀態下沒有執行的定時任務,并在特定的時間執行它們
- auditd:用于審計,負責把內核產生的資訊寫入到磁盤,用于記錄與系統內核有關的活動與操作,
- autofs:用于自動掛載服務,與寫入fstab檔案不同,它不會開機就掛載檔案系統,而是當用戶訪問時才掛載服務,
- svhi-dacmon
- biuetooth:用于藍牙,一般服務器也不會用這個功能吧,
- cpuspeed:用于動態調整CPU速度,除非用戶使用的是基于筆記本的Linux系統,否則應當關閉它,
- firstboot:Fedora特有,用于安裝之后第一次啟動時僅需要執行一次的特定任務,
- gpm:用于在無圖形界面的滑鼠支持,
- haldaemon:Fedora特有,用于自動掛載滑鼠鍵盤以及USB設備,
- hidd:對輸入設備提供藍牙支持,
- ip6tables:用于ipv6防火墻,
- ipsec:用于搭建VPN服務,
- isdn:用于使用isdn貓上網,
- lpd:列印機守護程式,
- mcstrans:用于SELinux,如果你使用SELinux,那么應當開啟它,
- netfs:用于在系統啟動時自動掛載網路中的共享檔案空間,比如:NFS,Samba 等,
- nfs:用于 Unix/Linux/BSD 系列作業系統的標準檔案共享方式,如果你用到這種方式,那么保持它開啟,
- nfslock:用于 Unix/Linux/BSD 系列作業系統的標準檔案共享方式,如果你用到這種方式,那么保持它開啟,
- nscd:用于為NIS和LDAP等服務提供更快的驗證,
- pcscd:用于提供智能卡和智能卡讀卡器支持,
- portmap: NFS和 NIS的補充,
- readahead_early:通過預先加載特定的應用程式到記憶體中以提供性能,讓程式啟動更快,
- restorecond:用于給SELinux監測和重新加載正確的檔案背景關系(file contexts),如果你使用SELinux的話強烈建議開啟它,
- rpcgssd:用于NFSv4,除非你需要或使用NFSv4,否則關閉它
- rpcidmapd:用于NFSv4,除非你需要或使用NFSv4,否則關閉它
- rstatd:用于獲取系統的資源使用情況,常用于監控服務,
- sendmaill:用于發送郵件,
- setroubleshoot:用于SELinux,用于讀取內核日志,
- yppasswdd:用于NIS服務,
- ypserv:用于NIS服務,
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/146883.html
標籤:Linux
上一篇:當前互聯網已經分配的埠和服務