Керування користувачами

Управління користувачами - це важлива частина контролю безпеки системи. Неефективне управління користувачами і привілеями часто призводить багато систем до компрометації. Однак, важливо, щоб ви розуміли, як можна захистити ваш сервер простими і ефективними техніками управління призначеними для користувача обліковими записами.

Якщо з якоїсь причини вам хочеться включити обліковий запис root, просто дайте їй пароль:

Для конфігурацій з паролями root підтримка не надається.

При створенні призначених для користувача облікових записів вам слід зробити політику мінімального і максимального терміну дії пароля, примушуючи користувачів змінювати їх паролі при закінченні терміну.

Лістинг нижче демонструє цікаві факти про користувальницької облікового запису, а саме, що не застосовано ніякі політики:

Щоб встановити будь-який з цих параметрів, просто скористайтеся наступною командою і дотримуйтесь вказівок:

Щоб перевірити зміни, скористайтеся способом, застосовувалися раніше:

Лістинг нижче показує нові політики, встановлені для облікового запису:

Багато додатків використовують власні механізми аутентифікації, які можуть бути не помічені навіть досвідченими системними адміністраторами. Тому важливо розуміти і контролювати, як користувачі проходять аутентифікацію і отримують доступ до сервісів і додатків на вашому сервері.

Доступ відключених користувачів по SSH

Simply disabling / locking a user account will not prevent a user from logging into your server remotely if they have previously set up RSA public key authentication. They will still be able to gain shell access to the server, without the need for any password. Remember to check the users home directory for files that will allow for this type of authenticated SSH access, e.g. /home/username/.ssh/authorized_keys.

Видаліть або перейменуйте каталог .ssh / в призначеному для користувача домашньому каталозі, щоб запобігти подальшому використання можливостей аутентифікації по SSH.

Обов'язково перевірте наявність будь-яких SSH з'єднань, встановлених відключеними користувачами, так як можливо, що вони можуть мати існуюче вхідної чи вихідної підключення. Закрийте їх, якщо такі є.

Дозволяйте доступ по SSH тільки тим облікових записів користувачів, яким він потрібен. Наприклад, ви можете створити групу "sshlogin" і додати її в змінну, пов'язану зі змінною AllowGroups. розташованої в файлі / etc / ssh / sshd_config.

Потім додайте користувачів, яким дозволений доступ по SSH, в групу "sshlogin" і перезапустіть сервіс SSH.