linux 시스템 보안 - 사용자 와 계 정과 비밀번호 보안

1. 불필요 한 사용자 삭제 또는 비활성화
원인 분석: 관리 자 는 정기 적 으로 / etc / passwd 파일 을 검사 하고 호스트 의 시작 사용 자 를 확인 해 야 합 니 다. 시스템 에 존재 하지 않 는 사용자 에 대해 서 는 제때에 정리 해 야 합 니 다. 시스템 에 만 든 전문 실행 사용자 에 대해 서 는 일반적으로 사용자 의 실행 자 일 뿐 Linux 에 로그 인 할 필요 가 없습니다. 예 를 들 어 ftp, apache, nginx 등 사용 자 는 로그 인 금지 운영 체제 로 설정 되 어 있 습 니 다.이렇게 하 는 목적 은 이러한 사용자 계 정 이 서버 침입 의 발판 이 되 는 것 을 방지 하 는 것 이다.
[root@localhost ~]# useradd zhu [root@localhost~] \ echo "123456" | passwd -- stdin zhu 에서 사용자 zhu 의 비밀 번 호 를 변경 합 니 다.passwd: 모든 인증 토 큰 이 성공 적 으로 업데이트 되 었 습 니 다.[root@localhost~] \ # exit 로그 인 연결 192.168.9.1 closed. [root@room9pc01 ~]# ssh [email protected] [email protected]'s password:  [zhu@localhost ~]$
[root@localhost ~]# passwd -l zhu    -----사용 자 를 잠 그 고 운영 체제 에 로그 인 할 수 있 는 권한 이 없 도록 사용자 zhu 의 암 호 를 잠 금 합 니 다.passwd: 조작 성공 
[root@room9pc01 ~]# ssh [email protected]     ----인증 사용자 로그 인 불가 시스템[email protected]'s password:  Permission denied, please try again. [email protected]'s password: 
 
2. 강력 한 사용자 비밀번호 설정
원인 분석: 너무 간단 한 암호 에 대해 일부 암호 해독 도 구 는 약 한 암 호 를 쉽게 풀 어 사용자 의 접근 권한 을 얻어 시스템 에 들 어 갈 수 있 습 니 다. 또한 암 호 를 설정 하지 않 은 사용자 에 게 는 암 호 를 삭제 하거나 강제로 설정 해 야 합 니 다.
 
비밀번호 설정 에 대한 조언:
1. 비밀번호 에는 알파벳, 숫자, 구두점 이 포함 되 어 있 습 니 다.
2. 비밀번호 에는 대문자 와 소문 자가 동시에 포함 되 어 있 습 니 다.
3. 비밀번호 길이 8 자리 이상
4. 생일, 전화번호 등 자신의 개인 정보 와 관련 된 비밀 번 호 를 사용 하지 마 세 요.
a. 비밀번호 없 이 시스템 에 로그 인 할 수 있 는 사용 자 를 설정 합 니 다.
[root@localhost ~]# useradd hai [root@localhost~] \ # passwd - d hai 사용자 의 비밀번호 hai 를 삭제 합 니 다.passwd: 조작 성공
[root@localhost ~]# cat /etc/shadow | awk -F: 'length($2)<1 {print $1}'   ---시스템 에서 찾기. 비밀번호 가 설정 되 어 있 지 않 은 사용자 hai
[root@localhost ~]# egrep 'hai|zhu' /etc/shadow    -----hai 사용 자 는 비밀번호 가 부족 한 zhu:! $6$l/LLXBWb$7DEMMazWQs7qtyo5H1xNzFKcI/sW5/07CqEM0aCZzqHd2Sa95Lbw0iQHnw4gajpxy.SKvisMoGuLaVFjF6lz91:18115:0:99999:7::: hai::18115:0:99999:7:::  
3. 회사 에 적합 한 암호 정책 설정
원인 분석: 현재 폭력 적 으로 비밀 번 호 를 해독 하 는 시간 이 점점 짧 아 지고 있 습 니 다. 단순 한 강제 비밀 번 호 를 설정 하 는 것 은 부족 합 니 다. 기업 은 일반적으로 직원 들 에 게 정기 적 으로 자신의 사용자 비밀 번 호 를 변경 하 라 고 요구 하지만 효과 가 좋 지 않 습 니 다. Linux 시스템 에서 비밀 번 호 를 강제로 변경 하 는 체 제 를 제공 합 니 다. 시스템 의 사용자 에 게 적당 한 암호 변경 전략 을 설정 하고 사용자 에 게 자신의 비밀 번 호 를 변경 하도록 강제 합 니 다.
[root@localhost~] \ # chage 용법: chage [옵션] 로그 인
옵션:  -d, -- lastday 최근 날짜       최근 비밀번호 설정 시간 을 '최근 날짜' 로 설정 합 니 다.  -E, -- expiredate 만 료 날짜    계 정 만 료 시간 을 '만 료 날짜' 로 설정 합 니 다.  -h, --help                    이 도움말 정 보 를 표시 하고 내 보 냅 니 다.  -I, --inactive INACITVE       만 료 된 INACTIVE 일수 후 암호 가 무효 상태 로 설 정 됩 니 다.  -l, --list                    계 정 연령 정보 표시  -최소 일수       암호 사이 의 거 리 를 두 번 바 꾸 는 최소 일 수 를 '최소 일수' 로 설정 합 니 다.  -M, -- maxdays 최대 일수       비밀번호 사이 의 거 리 를 두 번 바 꾸 는 최대 일 수 를 '최대 일수' 로 설정 합 니 다.  -R, --root CHROOT_DIR         chroot 에서 온 디 렉 터 리  -W, -- warndays 경고 일수      만 료 경고 일 수 를 '경고 일수' 로 설정 합 니 다.
 
[root@localhost ~]# chage -M 60 -I 3 -W 7 zhu  
명령 해석: 사용자 zhu 를 설정 할 때 60 일 마다 비밀 번 호 를 변경 해 야 합 니 다. 7 일 전에 사용자 에 게 경고 메 시 지 를 보 내 고 기한 이 지나 면 3 일 동안 사용자 로그 인 시스템 을 사용 하지 않 습 니 다 [root@localhost~] \ # chage - l zhu 최근 비밀번호 수정 시간                    ：8 월 07, 2019 비밀번호 만 료 시간                    ：10 월 06, 2019 비밀번호 실효 시간                    ：10 월 09, 2019 계좌 만 료 시간                        ：암호 사이 의 거 리 를 두 번 바 꾸 지 않 는 최소 일수        ：0 두 번 비밀번호 사이 의 거 리 를 바 꾸 는 최대 일수        ：비밀번호 만 료 전 경고 일수 60    ：7  
4. shadow 암호 파일 보호
원인 분석: 호스트 의 / etc / shadow 파일 은 사용자 암호 정 보 를 기 록 했 습 니 다. 현재 이 암호 해시 파일 을 풀 수 있 는 방법 이 많 습 니 다. Join the Ripper 는 바로 이러한 소프트웨어 입 니 다.

1.  Join the Ripper     
[root@zhuhaiyan ~]# wget http://www.openwall.com/john/j/john-1.8.0.tar.xz
[root@zhuhaiyan ~]# tar xf john-1.8.0.tar.gz
[root@zhuhaiyan ~]# cd john-1.8.0/src/
[root@zhuhaiyan ~]# make 
[root@zhuhaiyan ~]# make clean linux-x86-64

2. 테스트
[root@zhuhaiyan ~]# cd /root/john-1.8.0/run/
[root@zhuhaiyan run]# ./john /etc/shadow
 
4. 정지 사용자 금지
회사 에 서 는 이 직 직원 들 이 계 정 을 제때에 처리 하지 못 했 을 때 장시간 사용 하지 않 는 계 정 에 대해 잠재 적 인 보안 구멍 이지 만 이 사용자 들 이 변경 되면 장시간 발견 되 지 않 을 수 있 습 니 다. 리 눅 스 시스템 에 서 는 정지 밸브 값 을 설정 할 수 있 습 니 다. 사용자 가 10 일 이상 로그 인 시스템 이 없 으 면 기본적으로 금 지 됩 니 다.(사용자 가 계속 접속 하 더 라 도 제 한 된 시간 에 로그 인 동작 이 일어나 지 않 으 면 금 지 됩 니 다)
 
[root@localhost ~]# usermod -f 10 zhu  zhu 사용자 설정 10 일 이상 로그 인 하지 않 았 습 니 다. 이것 은 금 지 됩 니 다 [root@localhost ~]# usermod -f -1 zhu  zhu 사용자 의 정지 밸브 값 설정 취소
스 크 립 트 를 작성 하여 이 달 에 시스템 에 로그 인하 지 않 은 사용자 계 정 을 자동 으로 걸 러 낼 수 있 습 니 다. 관리자 가 상황 에 따라 선택 적 으로 사용 자 를 정지 할 수 있 습 니 다.
#!/bin/bash mkdir /tmp/nologin unset LANG MONTH='date | awk '{print $2 }' ' last | grep $MONTH | \ awk '{print $1}' | \ sort -u > /tmp/nologin/users1.log cat /etc/passwd | \ grep -v '/sbin/nologin' | \ awk -F: '{print $1}' | \ sort -u > /tmp/nologin/users2.log comm -13 /tmp/nologin/users[12].log rm -fR /tmp/nologin