三、用户账号安全等级设定
由于在Linux上不同的账号可以被赋予不同的权限,所以用户账号也具有相应的安全等级,因此在建立新用户ID时,系统管理员则应根据需要赋予该账号不同的权限,并且归并到不同的用户组中。
在Linux系统中的部分文件中,可设定允许上机及不允许上机的用户名单。其中,允许上机名单在/etc/hosts.allow中设置,而不允许上机名单则在/etc/hosts.deny中设置。此外,Linux将自动把允许进入或不允许进入的结果记录到/var/log/secure文件中,系统管理员可以此为根据查出可疑的进入记录。
每个账号ID都应有相应的专人负责。在企业,若是负责某个账户职员离职了,管理员则应立即从系统中删除相应ID。因为许多入侵事件都是通过借用了那些很久不用的账号。
当然,用户ID中,黑客最喜欢拥有root权限的ID,因为超级用户有权修改、删除各种系统设置,可毛无障碍的对系统进行操作。因而,在给任何ID赋予root权限前,都需慎重考虑。
四、系统登录用户权限
所以用户都需要登录才能进入Linux系统,因而,用户必须输入用户的账号密码,并通过系统验证后才能进入系统。
与Unix系统一样,Linux通常都将密码加密之后,存放于/etc/passwd文件中。Linux系统用户均可读/etc/passwd文件,虽然存放密码文件已经通过加密保持,可同样不太安全。因为普通用户可通过现成密码破译工具,以穷举法猜测出密码。相对安全的方法就是密码文件进行影子文件/etc/shadow舍得,只允许一定权限用户可读该文件。
Linux系统若是要采用影子文件,则须将所有公用程序进行重新编译,才能支持影子文件。而这方法相对麻烦些,还可以通过比较简便的方法是采用插入式验证模块(PAM)。多数Linux系统都带有Linux的工具程序PAM,它是一种身份验证机制,可动态的改变身份验证的方式和要求,而而不需要对其他公用程序进行重新编译。这是因为PAM采用封闭包的方式,将所有与身份验证有关的逻辑全部隐藏在模块内,因此它是采用影子档案的最佳帮手。
除此之外,PAM还仅有许多安全功能:它可以将传统的DES加密方法改写为其他功能更强的加密方法,以确保用户密码不会轻易地遭人破译;它可以设定每个用户使用电脑资源的上限;它甚至可以设定用户的上机时间和地点。
Linux系统管理人员仅需花几小时去安装与配置PAM,就可以很大程度上提高Linux系统的安全性,有效的把许多攻击阻挡在系统之外。
粤公网安备44030402000391号
