在Linux服务器的安全维护中,账号管理是一个重要的环节。恰当的账号管理能够最大限度地减少系统被入侵的风险。本文将介绍如何使用账号管理来进行Linux安全基线的检查与加固。
账号管理的基本原则
-
最小权限原则:为每个用户提供最小必需的权限。仅授予他们访问所需资源的权限,避免赋予不必要的特权。
-
定期审查账号:定期审查系统上的账号,查看是否有已离职或不再需要的账号。并及时删除或禁用这些账号。
-
启用强密码策略:对于每个用户,要求他们使用强密码,并定期更换密码。
一、口令锁定策略
| 安全基线项名称 | 口令锁定策略 |
|---|---|
| 检查操作步骤 | 查看配置文件:more /etc/pam.d/password-auth查看是否存在如下内容:auth required pam tally2.so deny=5 onerr=fail unlock_time=300 even_deny_root=5 root unlocktime=600 |
| 基线符合性性判定依据 | 用户连续认证失败次数设置为5即合规,否则不合规。 |
| 安全加固方案 | 参考配置操作 1、执行备份#/etc/pam.d/password-auth bak 2、修改策略设置,编辑文件vi /etc/pam.d/password-auth增加如下内容::auth required pam tally2.so deny=5 onerr=fail unlock_time=300 如果要对root用户生效,请在添加的内容后继续添加even_deny_root=5 root unlocktime=600注:unlock time和root unlock time单位为秒 |
| 备注 | PAM通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。查询被锁定的账号:pam tally2 -u手动解锁某个被锁定的账号:pam_tally2 -u 要解锁的用户-r |
检查 /etc/pam.d/password-auth ,检查如下参数值是否满足要求
注意:安全加固之前需要对原文件进行一个备份,防止操作过程出现问题导致系统崩溃,当然备份到那个地方自己决定
修改策略设置进行安全加固
二、口令生存期
| 安全基线项名称 | 口令生存期 |
|---|---|
| 检查操作步骤 | 查看文件:more /etc/login.defs,检查如下参数值是否满足要求: PASS_MAX_DAYS 用户的密码最长使用天数不大于90 PASS_WARN_AGE #用户的密码到期提前提醒天数为7 |
| 基线符合性性判定依据 | PASS_MAX_DAYS不天于90,PASS_WARN_AGE等于7即合规,否则不合规 |
| 安全加固方案 | 参考配置操作 1、执行备份: #cp -p /etc/login.defs /etc/login.defs_bak 2、修改策略设置,编辑文件/etc/login.defs,在文件中加入如下内容(如果存在则修改,不存在则添加): PASS_MAX_DAYS 90 PASS_WARN_AGE 7 执行命令:chage -M 90 -W 7username 修改已有用户的口令生存期和过期告警天数 |
检查 /etc/login.defs,检查如下参数值是否满足要求
执行备份
修改策略设置进行安全加固
可以看到不会对已经存在的用户总成影响
修改已有用户的口令生存期和过期告警天数
三、口令复杂度
| 安全基线项名称 | 口令复杂度 |
|---|---|
| 检查操作步骤 | 执行命令:grep -E"^minlen|^minclass” /etc/security/pwquality.conf 查看是否有返回结果。 |
| 基线符合性性判定依据 | 有返回结果且返回结果等于或者大于minlen =8,minclass =3 即合规,否则不合规 |
| 安全加固方案 | 参考配置操作 1、执行备份:cp -p /etc/security/pwquality.conf etc/security/pwquality.conf_bak 2、执行命令:authconfig --passminlen=8 --passminclass=3 --update #至少包含数字、小写字母、大写字母、特殊字符中的三项,且密码长度>=8 3、执行命令 chage -d 0 username #强制指定的用户下次登录修改密码 |
四、检查密码重用是否受限制
| 安全基线项名称 | 检查密码重用是否受限制 |
|---|---|
| 检查操作步骤 | 查看文件:cat /etc/pam.d/system-auth找到 password sufficient pam_unix.so 这行,检查末尾是否有 remember参数 |
| 基线符合性性判定依据 | 有remember参数且参数的值大于等于5即合规,否则不合规 |
| 安全加固方案 | 参考配置操作 1、执行备份:cp -p /etc/pam.d/system-auth 2、执行命令:vi /etc/pam.d/system-auth 编辑该文件,找到passwordsufficient pam_ unix.so 这行在末尾添加 remember 参数它的值为5,原来的内容不用更改,只在末尾加 remember=5 即可,它表示禁止使用最近用过的5个密码(己使用过的密码会被保存在 /etc/security/opasswd 下) |
五、检查是否存在除root之外UID为0的用户
| 安全基线项名称 | 检查是否存在除root之外UID为0的用户 |
|---|---|
| 检查操作步骤 | 执行命令 :awk -F: '($3 == 0) {print $1}' /etc/passwd 查看返回值 |
| 基线符合性性判定依据 | 返回值包括“root”以外的条目,则低于安全要求 |
| 安全加固方案 | 参考配置操作 1、执行备份:cp -p /etc/passwd cp -p /etc/shadow 执行命令:userdel -r username删除返回值中root除外的其他用户. 或者使用命令:usermod -u uid username 为他们分配新的UID |
六、禁止存在空密码的帐户
| 安全基线项名称 | 禁止存在空密码的帐户 |
|---|---|
| 检查操作步骤 | 执行命令 :awk -F: '($3 == 0) {print $1}' /etc/passwd 查看返回值 |
| 基线符合性性判定依据 | 执行以下命令查看系统中是否存在空口令账号 #awk -F '( $2 =="" ) {print $1}' /etc/shadow |
| 安全加固方案 | 参考配置操作 1、为帐户设置满足密码复杂度的密码 #passwd username |
结论: 通过账号管理的检查与加固,可以提高Linux服务器的安全性并降低被攻击的风险。定期审查账号和密码策略的设置,以及禁用不再需要的账号,能够保证系统的最小权限原则。同时,账号锁定和登录限制能够有效防范暴力破解和未授权访问。定期进行账号管理的检查与加固是保障系统安全的重要一环,需要持续地关注和更新。
1290
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
