Безопасность в CentOS. Часть первая.



Очень часто безопасностью на Linux системах системные администраторы пренебрегают. Мол, и так система безопасная, что там ещё настраивать. Но система безопасна там, где за этим следят. По этому мы начинаем небольшой цикл статей посвященный настройки элементарных вещей которые должны быть у Вас настроены для Вашей же безопасности


Сегодняшняя статья будет посвящена пользователю root, и как от него “избавиться”. Не секрет, что в большинстве организаций на системах Linux есть один только пользователь root, под которым все и работают. И самое простое выяснение, -”А кто сделал/выполнил/удалил ?!”, превращается в огромный спор. Что бы этого не происходило мы предлагаем для каждого пользователя создать свою учётную запись для подключения по SSH. А некоторых даже наделим правами пользователя root, для выполнения их должностных обязанностей.

И так, создадим пользователей
# adduser iron
Зададим пароль для пользователя
# passwd iron
Зададим группу
# usermod -G wheel iron
Теперь переподключаемся по ssh, под новым пользователем
# ssh newusername@myip or hostname
# whoami
Мы пока без прав
# su –
Вводим пароль root и вуаля..
# whoami
МЫ есть root )

Для упрощения работы можно использовать команду sudo, но для начала необходимо подправить файл /etc/sudoers: добавляем в конец файла
iron ALL=(ALL)ALL
и теперь при выполнении команды sudo whoami и вводе пароля пользователя (!) получаем права root. Но можно обойтись без ввода пароля. Для этого строку необходимо изменить на
iron ALL=(ALL) NOPASSWD: ALL
Теперь запретим вход по SSH для рута:
  • либо в файле /etc/ssh/sshd_config убираем комментарий в строке:
#PermitRootLogin yes
и меняем yes на no

  • Либо разрешаем вход только через консоль

#echo "tty1" > /etc/securetty
Так же можно изменить права на корневую папку:
#chmod 700 /root
Так же поставим необходимость сменить пароль раз в 90 дней, но не чаще 1го раза в день
# perl -npe 's/PASS_MAX_DAYS\s+99999/PASS_MAX_DAYS 90/' -i /etc/login.defs
# perl -npe 's/PASS_MIN_DAYS\s+0/PASS_MIN_DAYS 1/g' -i /etc/login.defs
Ну и на последок смени все хеши паролей с уязвимого md5 на sha512
# authconfig --passalgo=sha512 --update


Валерий Кулик
http://efsol.ru/solutions/data-protection.html

Ярлыки: , ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)
Телефон: + 7(495) 987-35-49 efsol@efsol.ru