賬戶安全是系統(tǒng)安全的第一道屏障,也是系統(tǒng)安全的核心,保障登錄賬戶的安全,在一定程度上可以提高香港服務器的安全級別,下面重點介紹下Linux系統(tǒng)登錄賬戶的安全設置方法。
1、刪除特殊的賬戶和賬戶組
Linux提供了各種不同角色的系統(tǒng)賬號,在系統(tǒng)安裝完成后,默認會安裝很多不必要的用戶和用戶組,如果不需要某些用戶或者組,就要立即刪除它,因為賬戶越多,系統(tǒng)就越不安全,很可能被黑客利用,進而威脅到香港服務器的安全。
Linux系統(tǒng)中可以刪除的默認用戶和組大致有如下這些:
可刪除的用戶,如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等。
可刪除的組,如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等。
2、關閉系統(tǒng)不需要的服務
Linux在安裝完成后,綁定了很多沒用的服務,這些服務默認都是自動啟動的。對于香港服務器來說,運行的服務越多,系統(tǒng)就越不安全,越少服務在運行,安全性就越好,因此關閉一些不需要的服務,對系統(tǒng)安全有很大的幫助。
具體哪些服務可以關閉,要根據(jù)服務器的用途而定,一般情況下,只要系統(tǒng)本身用不到的服務都認為是不必要的服務。
例如:某臺香港Linux服務器用于www應用,那么除了httpd服務和系統(tǒng)運行是必須的服務外,其他服務都可以關閉。下面這些服務一般情況下是不需要的,可以選擇關閉: anacron、auditd、autofs、avahi-daemon、avahi-dnsconfd、bluetooth、cpuspeed、firstboot、gpm、haldaemon、hidd、ip6tables、ipsec、isdn、lpd、mcstrans、messagebus、netfs、nfs、nfslock、nscd、pcscd portmap、readahead_early、restorecond、rpcgssd、rpcidmapd、rstatd、sendmail、setroubleshoot、yppasswdd ypserv
3、密碼安全策略
在Linux下,遠程登錄系統(tǒng)有兩種認證方式:密碼認證和密鑰認證。
密碼認證方式是傳統(tǒng)的安全策略,對于密碼的設置,比較普遍的說法是:至少6個字符以上,密碼要包含數(shù)字、字母、下劃線、特殊符號等。設置一個相對復雜的密碼,對系統(tǒng)安全能起到一定的防護作用,但是也面臨一些其他問題,例如密碼暴力破解、密碼泄露、密碼丟失等,同時過于復雜的密碼對運維工作也會造成一定的負擔。
密鑰認證是一種新型的認證方式,公用密鑰存儲在遠程服務器上,專用密鑰保存在本地,當需要登錄系統(tǒng)時,通過本地專用密鑰和遠程服務器的公用密鑰進行配對認證,如果認證成功,就成功登錄系統(tǒng)。這種認證方式避免了被暴力破解的危險,同時只要保存在本地的專用密鑰不被黑客盜用,攻擊者一般無法通過密鑰認證的方式進入系統(tǒng)。因此,在Linux下推薦用密鑰認證方式登錄系統(tǒng),這樣就可以拋棄密碼認證登錄系統(tǒng)的弊端。
Linux服務器一般通過SecureCRT、putty、Xshell之類的工具進行遠程維護和管理,密鑰認證方式的實現(xiàn)就是借助于SecureCRT軟件和Linux系統(tǒng)中的SSH服務實現(xiàn)的。
4、合理使用su、sudo命令
su命令:是一個切換用戶的工具,經常用于將普通用戶切換到超級用戶下,當然也可以從超級用戶切換到普通用戶。為了保證服務器的安全,幾乎所有香港服務器都禁止了超級用戶直接登錄系統(tǒng),而是通過普通用戶登錄系統(tǒng),然后再通過su命令切換到超級用戶下,執(zhí)行一些需要超級權限的工作。通過su命令能夠給系統(tǒng)管理帶來一定的方便,但是也存在不安全的因素,
例如:系統(tǒng)有10個普通用戶,每個用戶都需要執(zhí)行一些有超級權限的操作,就必須把超級用戶的密碼交給這10個普通用戶,如果這10個用戶都有超級權限,通過超級權限可以做任何事,那么會在一定程度上對系統(tǒng)的安全造成了威協(xié)。
因此su命令在很多人都需要參與的系統(tǒng)管理中,并不是最好的選擇,超級用戶密碼應該掌握在少數(shù)人手中,此時sudo命令就派上用場了。
sudo命令:允許系統(tǒng)管理員分配給普通用戶一些合理的“權利”,并且不需要普通用戶知道超級用戶密碼,就能讓他們執(zhí)行一些只有超級用戶或其他特許用戶才能完成的任務。
比如:系統(tǒng)服務重啟、編輯系統(tǒng)配置文件等,通過這種方式不但能減少超級用戶登錄次數(shù)和管理時間,也提高了系統(tǒng)安全性。
因此,sudo命令相對于權限無限制性的su來說,還是比較安全的,所以sudo也被稱為受限制的su,另外sudo也是需要事先進行授權認證的,所以也被稱為授權認證的su。
sudo執(zhí)行命令的流程是: 將當前用戶切換到超級用戶下,或切換到指定的用戶下,然后以超級用戶或其指定切換到的用戶身份執(zhí)行命令,執(zhí)行完成后,直接退回到當前用戶,而這一切的完成要通過sudo的配置文件/etc/sudoers來進行授權。
sudo設計的宗旨是: 賦予用戶盡可能少的權限但仍允許它們完成自己的工作,這種設計兼顧了安全性和易用性,因此,強烈推薦通過sudo來管理系統(tǒng)賬號的安全,只允許普通用戶登錄系統(tǒng),如果這些用戶需要特殊的權限,就通過配置/etc/sudoers來完成,這也是多用戶系統(tǒng)下賬號安全管理的基本方式。