硅谷杂志:Linux用户安全问题浅谈 |
| 2012-08-03 10:44 作者:石 莹 来源:硅谷网 HV: 编辑: 【搜索试试】
|
|
硅谷网8月3日消息 《硅谷》杂志2012年第12期刊文称,简单介绍Linux系统中的用户安全问题,介绍root账号安全和口令安全,并给出具体的管理及设置方法。
Linux是一套免费使用和自由传播的类UNIX操作系统,它与其它操作系统一样,也存在安全隐患,而随着它广泛普及和使用,针对它的攻击也越来越多。但相对其它系统来说,在网络攻击、病毒传播、垃圾邮件等迅速增长的今天,Linux操作系统之所以越来越多地被服务器市场和用户所接受的一个重要原因是其可靠的系统安全性。该系统采用了许多安全技术和措施,包括对读、写进行权限控制,带保护的子系统、审计跟踪、核心授权等。经过实际测评,许多专家认为Linux是目前最安全的操作系统。在Linux系统开发过程中,针对每一种可能存在的安全风险,Linux都给用户预留了安全管理接口。用户在使用过程中如能避免一些不当操作,就可以减少系统被攻击的机率。本文主要针对如何对Linux用户安全方面进行防范和设置。
Linux的用户安全包括账号安全和口令安全。
1Linux账号安全
1.1root账号安全
在Linux系统中,所有的管理功能都能由root账号完成,它是系统的超级用户。root账号能对系统的所有资源做最大限度的调整,还可以直接允许或禁止单个用户、一部分用户或所有用户对系统的访问。root账号可以控制用户的访问权限及用户存放文件的位置,还可以控制用户能够访问哪些系统资源。所以不能不强调Linux用户不应该以root账号身份登录的重要性。
既然它如此重要,那么访问root账号稍好一些的方式是使用su命令。如果不带任何参数来调用su命令,那么它会提示用户输入root的口令,然后启动一个shell的特权一直到shell终止以前都保持有效。Su不记录以root身份执行了什么命令,但它会创建一条日志记录来说明是谁在什么时候变成的root。
在Linux系统的/etc/securetty文件中包含了一组能够以root账号登录的终端名称。该文件在默认情况下仅允许本地虚拟控制台使用root登录,而不允许远程用户以root账号登录。虽然可以通过修改文件允许使用root账号从远程主机登录,但是不建议这样做。最好的办法是先使用普通账号从远程登录Linux主机,然后再使用su命令升级为超级用户,当root账号使用完毕后,再使用exit命令注销。如果需要授权其他用户以root身份运行某些命令,可以使用sudo命令,该命令的格式如下:
Sudo<command_line>
其中,command_line为需要以root身份运行的命令行。在执行sudo授权时,需要当前用户输入其口令。
需要注意的是,如果用户在离开时忘记从系统中注销,特别是root账号离开时忘记注销,会给系统带来不可预知的隐患。Linux系统可以控制系统在空闲时自动从shell中注销,/etc/profile文件中的“timeout”变量即为空闲的超时时间,例如:
timeout=200
表示用户在200s内无操作时将自动注销,来防止安全隐患。用户可以根据上述原理自己设定超时间隔。
虽然如此,对待root口令还是要慎重,root口令应该很容易在手指上敲出来,这样就可以很快敲进去而不会被看着你的手指在键盘上移动的人猜出来。在实际操作过程中,大多数人用sudo而不是真正的root口令,但我们仍然要认真地选择root口令。
1.2删除多余账号
在Linux系统默认添加的各种账户中,有很多是无用的,或者有部分账号因为没有启动相应的服务而成为多余账号。例如,如果不使作SSH服务器,那么sshd账号就是多余账号;如果不使用匿名的FFP服务,那么ftp账号即为多余账号。账号越多,系统越容易受到攻击。系统管理员应该在第一次使用系统时检查并删除不需要的账号。如果想要手工删除一个用户,可能需要从下面方面来做:
将用户从所有本地用户数据库或者电话薄中删除;
将用户从aliases文件中删除,或者添加一个转发地址;
删除用户的crontab文件和所有挂起的at作业;
终止所有仍在运行的用户进程;
将用户从passwd、shadow、group、gshadow文件中删除;
要将用户的主目录删除;
删除用户的邮件存储文件。在删除用户的主目录前,应该确保先重新安置其他用户需要的任何文件。那么我们可以用命令来删除不用账号。
在命令提示符下使用如下命令,即可删除多余账号。
[root@myhostroot]#userdelmail←如果没有使用sendmail服务器,删除该用户
在没有开启相应的服务时,可以删除的账号有:adm、lp、sync、halt、mail、mailnull、games、news、sshd、gopher、uucp、ftp、operator、named等。
1.3用户信息文件安全
在Linux系统中,用户的信息都被保存在/etc/passwd和/etc/shadow文件中,而/etc/passwd文件是系统能够识别的用户的一份清单,在用户登录期间,系统查询这个文件,确定用户的UID并验证用户的口令。它是以加密的形式保存口令,除非用户自已能够心算完成加密过程,否则必须通过使用passwd命令来设置这个字段的内容,或者从另外一个账号中复制加密后的口令字符串。/etc/shadow只有超级用户才能读,它用于保护加密口令的安全,使口令不被爱窥探的眼睛看到,它还提供了无法从/etc/passwd得到的账号信息。Shadow文件并不是passwd文件的超集,而passwd文件也不是从它产生的,我们在使用时要将两个文件都维护好。用户组的信息保存在/etc/group和/etc/gshadow文件中。为了保护上述文件不被修改而影响到Linux系统的用户和组管理,我们应该按如下方法设置这些文件的访问权限:
[root@myhostroot]#chmod600/etc/passwd保证文件的属主为root,然后还可以将其设置为不能改变。
[root@myhostroot]#chmod600/etc/shadow
[root@myhostroot]#chmod600/etc/group
[root@myhostroot]#chmod600/etc/gshadow
为了防止非授权用户通过修改用户信息文件和用户组文件修改用户口令和组群资料,可以给这些文件添加不可更改的属性,这时可使用chattr命令,其格式如下:
Chattr[mode]–Rfile_name
其中,参数-R表示递归设置目录中所有文件的属性;mode是文件的属性,可以使用“+”表示添加某种属性,“—”表示取消某种属性,“=”表示具有某种属性。
1.4setuid程序
在Linux系统中,一些应用程序被设置了setuid属性。这些程序在运行时能有效地将当前执行该程序的用户的uid改变成应用程序所有者的uid,使应用程序进程在很大程度上拥有该程序所有者的特权。运行setuid程序,特别是运行setuid到root的程序,很容易导致安全问题。以前从理论上讲是安全的,不过,过去已经发现了安全漏洞,将来还会发现漏洞。想把setuid问题的数量降到最低的办法,就是把setuid程序的数量降到最低。在安装需要执行setuid的软件包之前三思而行,并要避免在自己编写的软件中使用setuid功能。虽然Linux发行版本各有不同,但一个Linux发行版本中平均有大约35个setuid程序。
没有哪条规则说setuid程序必顺以root权限运行,如果你要做的一切就是限制对某个特殊文件或数据库的访问,你可以在passwd文件中添加一个伪用户,passwd文件存在的唯一理由就是拥有受限制的资源。
2用户口令安全
口令是Linux系统对用户进行认证的主要手段,口令安全是Linux系统安全的基石,一个简单、易破解的口令就等于向攻击者敞开系统的大门,攻击者一旦获得重要账号的口令,就能够长驱直入。系统安装时默认的口令最小长度通常为5,但为保证口令不易被测攻击,可增加口令的最小长度,至少等于8。为此,需修改文件/etc/login.defs可以实现上述目标。该文件中有如下语句:
PASS_MAX_DAYS99999←口令使用的最长时间
PASS_MIN_DAYS0←口令使用的最短时间,0表示不限
PASS_MIN_LEN8←口令的最小长度
PASS_MIN_AGE7←在口令过期前多少天给出警告
目前密码破解程序大多采用字典攻击以及暴力攻击手段,而其中用户密码设定不当,则极易受到字典攻击的威胁。很多用户喜欢用自己的英文名、生日或者账户等信息来设定密码,这样,黑客可能通过字典攻击或者是社会工程的手段来破解密码。所以建议用户在设定密码的过程中,应尽量使用非字典中出现的组合字符,并且用数字与字符相结合、大小写相结合的密码设置方式,增加密码被黑客破解的难度。而且也可以使用定期修改密码、使密码定期作废的方式,来保护自己的登录密码。
大部分的Linux发行版本默认使用MD5算法来加密口令。MD5算法可以使用任意长度的口令,口令越长也会越安全,但不管加密前的口令有多长,加密后的口令长度都是固定的,MD5算法的结果是34个字符,DES则是13个字符,MD5算法比以前的DES标准算法加密效果稍好一些,所以建议在所有支持它的系统上都使用它。
3结束语
本文通过对Linux用户安全问题的分析,提出改进安全管理方法和设置。另外,最重要析安全问题是必须杜绝的,否则后果不堪设想。我们可以在设置以上内容时,也可以找一些加强安全的工具来加强防护,比如nmap:扫描网络端口、johntheripper:找出不安全的口令等等,还有一些加密的安全工具,比如:pgp:有很好的私密性、ssh:安全的shell、一次性口令等,这样才有可能保护好我们的用户安全。(原文载于《硅谷》杂志2012年第12期,硅谷网及《硅谷》杂志版权所有,未经允许禁止转载)
|
|
|
|
【对“硅谷杂志:Linux用户安全问题浅谈”发布评论】 |
版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
|
|
|
|
