الخطوة الأولى والأكثر أهمية نحو تأمين خوادم وأنظمة Linux هي منع الأطراف الخبيثة من الوصول غير المطلوب. يعد التحكم السليم في حساب المستخدم أحد الطرق العديدة لتعزيز أمان نظامك.

يمنع حساب المستخدم المتشدد النظام من طرق الهجوم الأكثر شيوعًا لتصعيد الامتياز الأفقي أو الرأسي. وبالتالي ، بصفتك مسؤول نظام Linux ، فأنت مسؤول أيضًا عن حماية الخادم الخاص بك عبر تقنيات أمان فعالة.

تتناول هذه المقالة بعض عناصر التحكم الأساسية في أمان حساب المستخدم لمنع الوصول غير الضروري وإصلاح الثغرات المحتملة لاختراق النظام.

1. تقييد الوصول إلى حساب الجذر

بشكل افتراضي ، يقوم كل تثبيت لنظام Linux بإعداد حساب جذر يمكن لأي شخص من الخارج الوصول إليه عبر SSH. ومع ذلك ، فإن الوصول إلى حساب الجذر عبر SSH أو وصول مستخدمين متعددين داخل النظام يمكن أن يتسبب في مشكلات التنصل.

على سبيل المثال ، يمكن للمهاجم استخدام القوة الغاشمة لتسجيل الدخول كمستخدم أساسي والوصول إلى النظام.

لتقييد الوصول غير الضروري إلى الجذر من داخل / خارج نظام Linux ، يمكنك:

  • أضف مستخدم آخر ومنح امتيازات الجذر لها
  • تعطيل تسجيل الدخول إلى جذر SSH

أنشئ مستخدمًا متميزًا جديدًا

instagram viewer

ل منح sudo أو أذونات الجذر إلى حساب مستخدم Linux عادي ، أضف المستخدم إلى ملف سودو المجموعة على النحو التالي:

usermod -aG sudo username

الآن قم بالتبديل إلى حساب المستخدم باستخدام الأمر su وتحقق من امتيازات الجذر الخاصة به عن طريق إصدار أمر لا يمكن الوصول إليه إلا للمستخدم الجذر:

su - اسم المستخدم
sudo systemctl إعادة تشغيل sshd

يوفر تمكين أذونات sudo بعض مزايا الأمان الجيدة ، مثل:

  • لا تحتاج إلى مشاركة كلمات مرور الجذر مع المستخدمين العاديين.
  • يساعدك على التحقق من جميع الأوامر التي يديرها المستخدمون العاديون ، مما يعني أنه يخزن تفاصيل من ومتى وأين لتنفيذ الأمر في /var/log/secure ملف.
  • الى جانب ذلك ، يمكنك تحرير ملف /etc/sudoers ملف للحد من أذونات المستخدم المتميز للمستخدمين العاديين. يمكنك استخدام الأمر سو -l للتحقق من أذونات الجذر الحالية للمستخدم.

تعطيل تسجيل الدخول إلى SSH الجذر

لتعطيل وصول SSH إلى الجذر على نظامك ، أولاً ، افتح ملف التكوين الرئيسي.

sudo vim / etc / ssh / sshd_config

الآن قم بإلغاء التعليق على السطر التالي لتعيين أذونات تسجيل الدخول إلى الجذر رقم:

PermitRootLogin لا

احفظ الملف وأعد تشغيل ملف sshd الخدمة عن طريق كتابة:

sudo systemctl إعادة تشغيل sshd

الآن ، عندما تحاول SSH في النظام كمستخدم أساسي ، ستتلقى رسالة الخطأ التالية:

تم رفض الإذن، يرجى المحاولة مرة أخرى.

2. حدد تواريخ انتهاء الصلاحية على الحسابات

هناك طريقة فعالة أخرى للتحكم في الوصول غير الضروري وهي تعيين تواريخ انتهاء الصلاحية على الحسابات التي تم إنشاؤها للاستخدام المؤقت.

على سبيل المثال ، إذا احتاج متدرب أو موظف إلى الوصول إلى النظام ، فيمكنك تعيين تاريخ انتهاء الصلاحية أثناء إنشاء الحساب. إنه إجراء احترازي في حالة نسيان إزالة الحساب أو حذفه يدويًا بعد مغادرته المؤسسة.

استخدم ال تشاج الأمر مع فائدة grep لجلب تفاصيل انتهاء صلاحية الحساب للمستخدم:

chage -l اسم المستخدم | حساب grep

انتاج:

انتهاء صلاحية الحساب: أبدا

كما هو موضح أعلاه ، فإنه لا ينتج تاريخ انتهاء الصلاحية. الآن استخدم ملف usermod الأمر مع -e علم لتعيين تاريخ انتهاء الصلاحية في YYYY-MM-DD التنسيق والتحقق من التغيير باستخدام الأمر chage أعلاه.

usermod -e 2021-01-25 اسم المستخدم
chage -l اسم المستخدم | حساب grep

3. تحسين أمان كلمة مرور الحساب

يُعد فرض سياسة كلمات مرور قوية جانبًا مهمًا لتأمين حسابات المستخدمين ، حيث تعمل كلمات المرور الضعيفة على تمكين المهاجمين من اختراق أنظمتك بسهولة عبر القوة الغاشمةأو قاموس أو هجمات جدول قوس قزح.

قد يوفر اختيار كلمة مرور سهلة التذكر بعض الراحة ، ولكنه يفتح أيضًا طرقًا لفرص للمهاجمين لتخمين كلمات المرور بمساعدة الأدوات وقوائم الكلمات المتوفرة عبر الإنترنت.

تعيين تاريخ انتهاء صلاحية كلمة المرور

علاوة على ذلك ، يقدم Linux بعض الخيارات الافتراضية بالداخل /etc/logins.defs ملف يسمح لك بتعيين عمر كلمة مرور الحساب. استخدم ال تشاج الأمر و grep تفاصيل انتهاء صلاحية كلمة المرور على النحو التالي:

chage -l اسم المستخدم | أيام grep
المتغيرات القيمة الافتراضية إستعمال القيمة المثالية
مرور_ماكس_أيام 9999 عدد الأيام الافتراضي لاستخدام كلمة المرور والذي يعتمد على نوع إعداد حسابك 40
ممر 0 يمنع المستخدمين من تغيير كلمة المرور الخاصة بهم على الفور 5
PASS_MIN_LEN 5 يفرض على المستخدم تعيين كلمات مرور بطول معين 15
PASS_WARN_AGE 0 يحذر المستخدم من تغيير كلمة المرور قبل إجباره على القيام بذلك 7

بالنسبة للحسابات قيد الاستخدام ، يمكنك التحكم في تقادم كلمة المرور بمساعدة ملف تشاج أمر لتعيين PASS_MAX_DAYS و PASS_MIN_DAYS و PASS_WARN_AGE إلى 40 و 5 و 7.

اسم مستخدم chage -M 40 -m 5 -W 7

تجزئة كلمة المرور

هناك طريقة أخرى لتعزيز أمان كلمة مرور الحساب وهي تخزين تجزئات كلمة المرور بالداخل ملف / etc / shadow. التجزئة هي وظائف رياضية أحادية الاتجاه تأخذ كلمة المرور كإدخال وإخراج سلسلة غير قابلة للعكس.

في وقت سابق ، على أنظمة Linux ، كلما قام المستخدم بإدخال كلمة المرور الخاصة به لتسجيل الدخول ، يقوم النظام بإنشاء التجزئة الخاصة به والتحقق منها مقابل تلك المخزنة في /etc/passwd ملف.

ومع ذلك ، هناك مشكلة في الوصول إلى إذن ملف passwd ، أي أن أي شخص لديه وصول إلى النظام يمكنه قراءة الملف وكسر التجزئة باستخدام جداول قوس قزح.

ومن ثم ، يحفظ Linux الآن التجزئة داخل ملف /etc/shadow ملف مع مجموعة أذونات الوصول التالية:

ls -l / etc / shadow
 1 جذر 1626 يناير 7 13:56 / etc / shadow

لا يزال بإمكانك تثبيت Linux بالطرق القديمة لتخزين التجزئة. يمكنك تعديل ذلك عن طريق تشغيل ملف pwconv الأمر ، بحيث يقوم تلقائيًا بحفظ تجزئات كلمة المرور في ملف /etc/shadow ملف. وبالمثل ، يمكنك تمكين الطريقة الأخرى (/etc/passwd file) باستخدام ملف بوونكونف يأمر.

4. قم بإزالة حسابات المستخدمين غير المستخدمة

يمكن للممثل السيئ استغلال الحسابات غير المستخدمة والمنتهية الصلاحية في النظام ، عن طريق تجديد هذا الحساب وجعله يبدو كمستخدم شرعي. لإزالة حساب غير نشط والبيانات المرتبطة به متى غادر المستخدم المؤسسة ، ابحث أولاً عن جميع الملفات المتعلقة بالمستخدم:

البحث عن / -اسم مستخدم المستخدم

بعد ذلك ، قم بتعطيل الحساب أو قم بتعيين تاريخ انتهاء الصلاحية كما هو موضح أعلاه. لا تنس عمل نسخة احتياطية من الملفات التي يمتلكها المستخدم. يمكنك إما اختيار تعيين الملفات إلى مالك جديد أو إزالتها من النظام.

أخيرًا ، احذف حساب المستخدم باستخدام الأمر userdel.

userdel -f اسم المستخدم

5. تقييد الوصول عن بعد إلى مجموعة مستخدمين معينة

إذا كنت تستضيف خادم ويب على جهاز Linux الخاص بك ، فقد تحتاج إلى السماح لمستخدمين محددين فقط بدخول SSH عن بُعد إلى النظام. يتيح لك OpenSSL تقييد المستخدمين من خلال التحقق من أنهم ينتمون إلى مجموعة معينة.

لذلك ، قم بإنشاء مجموعة مستخدمين مسماة ssh_gp ، أضف المستخدمين الذين تريد منحهم حق الوصول عن بُعد إلى المجموعة ، وقم بإدراج معلومات مجموعة المستخدمين على النحو التالي:

sudo groupadd ssh_gp
sudo gpasswd -a اسم المستخدم ssh_gp
اسم مستخدم المجموعات

الآن ، افتح ملف التكوين الرئيسي OpenSSL لتضمين مجموعة المستخدمين المسموح بها ssh_gp.

sudo vim / etc / ssh / sshd_config
AllowGroups ssh_gp

تذكر إلغاء التعليق لضمان دمج المجموعة بنجاح. عند الانتهاء ، احفظ الملف واخرج منه وأعد تشغيل الخدمة:

sudo systemctl إعادة تشغيل sshd

الحفاظ على أمان حساب المستخدم على Linux

في الوقت الحاضر ، تستضيف معظم المؤسسات البنى التحتية الحيوية مثل خوادم الويب والجدران النارية وقواعد البيانات على لينكس واختراق أي مكون داخلي يشكل تهديدًا كبيرًا على الكل البنية الاساسية.

نظرًا لأهمية الإعداد ، تعد إدارة حسابات المستخدمين وتأمينها تحديًا أساسيًا يواجهه مسؤولو Linux. أدرجت هذه المقالة بعض الإجراءات الأمنية التي يجب على مسؤول الحساب اتخاذها لحماية النظام من التهديدات المحتملة بسبب حسابات المستخدمين غير المحمية.

الدليل الكامل لإدارة المستخدم في Linux

تعد إدارة المستخدمين مهمة حاسمة يجب أن يتقن كل مسؤول نظام Linux. إليك دليل إدارة المستخدم النهائي لنظام Linux.

اقرأ التالي

شاركسقسقةبريد الالكتروني
مواضيع ذات صلة
  • لينكس
  • حماية
  • التحكم في حساب المستخدم
  • حماية
  • نصائح أمنية
عن المؤلف
رميسة نيازي (8 مقالات منشورة)

رميسة كاتبة مستقلة في MUO. لقد ارتدت العديد من القبعات ، من عالم الرياضيات إلى المتحمسين لأمن المعلومات ، وتعمل الآن كمحلل SOC. تشمل اهتماماتها القراءة والكتابة عن التقنيات الجديدة وتوزيعات Linux وأي شيء يتعلق بأمن المعلومات.

المزيد من Rumaisa Niazi

اشترك في نشرتنا الإخبارية

انضم إلى النشرة الإخبارية لدينا للحصول على نصائح تقنية ومراجعات وكتب إلكترونية مجانية وصفقات حصرية!

انقر هنا للاشتراك