[转]Linux系统中用户帐户清洁与安全方法
安全性是一個(gè)龐大和具有挑戰(zhàn)性的主題,但每個(gè)負(fù)責(zé)服務(wù)器端工作的人都應(yīng)當(dāng)知道基本步驟。Cameron 概括了一些使您的用戶帳戶清潔和安全的方法。
安全性是一大難題。它不會(huì)一成不變,而且很難知道它需要擴(kuò)展到多大程度:如果您不小心的話,當(dāng)您的老板真正想要的是不讓看門人看到他的年度預(yù)算時(shí),您才會(huì)最終相信他需要理解安全性的好處。
不管在計(jì)算安全性的所有方面跟上潮流是多么的具有挑戰(zhàn)性,畢竟有幾個(gè)領(lǐng)域已經(jīng)足夠成熟,值得進(jìn)行系統(tǒng)地學(xué)習(xí)。對(duì)于任何使用 Linux 服務(wù)器的人,我建議他學(xué)習(xí)的第一個(gè)領(lǐng)域是帳戶管理。
注意您的用戶
在第一批專門介紹 Linux 管理和編程的書籍中,許多都包括關(guān)于“用戶管理”或“帳戶管理”的一章。它們的意思非常明確:如何為使用您主機(jī)的人設(shè)置和維護(hù)計(jì)算帳戶和組關(guān)系。
在那時(shí),“使用”必然意味著“登錄”。帳戶管理的全部工作就是:使用諸如 useradd 、 chsh 等命令來配置 Linux 帳戶,以便于由同部門開發(fā)人員占多數(shù)的用戶群使用。/etc/passwd 及其 API 是 Linux 專家的關(guān)注重點(diǎn)。
那個(gè)時(shí)代早已成為過去,我對(duì)大多數(shù)服務(wù)器提出的第一個(gè)建議就是清除 /etc/passwd 的大部分內(nèi)容。我的意思是:由于歷史原因,大多數(shù)電子郵件服務(wù)器、Web 服務(wù)器、文件服務(wù)器等,都用 /etc/passwd 管理它們的用戶訪問。我認(rèn)為這通常都是一個(gè)錯(cuò)誤。在早些時(shí)候,當(dāng)可能有十幾個(gè)或二十幾個(gè)工程師共享一臺(tái)高端工作站時(shí),這是一種明智方式。但是,當(dāng)一臺(tái)電子 郵件服務(wù)器可能要處理幾萬名用戶(他們中的大多數(shù)只是把計(jì)算當(dāng)成和飲水器或電話系統(tǒng)一樣的公用設(shè)施)的郵箱時(shí),傳統(tǒng)的 /etc/passwd 方式就是一個(gè)錯(cuò)誤。
依靠 /etc/passwd 當(dāng)然是可能的。它經(jīng)歷了足夠的修補(bǔ)和調(diào)整,足以應(yīng)付令人驚訝的工作量。但不是必須如此。如果您將用戶帳戶移到專門的數(shù)據(jù)存儲(chǔ),如 LDAP(輕量級(jí)目錄訪問協(xié)議)甚至 RDBMS(關(guān)系數(shù)據(jù)庫管理系統(tǒng))數(shù)據(jù)存儲(chǔ),您可以在可伸縮性、安全性和維護(hù)方面受益。將 /etc/passwd 限制為只供少數(shù)真正需要登錄的開發(fā)人員和管理員使用。
這一實(shí)踐在安全性方面有很大好處,因?yàn)榉?wù)(電子郵件和 Web 等)用戶的忙閑度與開發(fā)人員的完全不同。一旦您已設(shè)置好了一臺(tái)新的服務(wù)器,它的 /etc/passwd 就不應(yīng)經(jīng)常更改。監(jiān)控它是否被更新 — 特別是篡改 — 是一項(xiàng)簡(jiǎn)單的任務(wù)。但是,如果您正在運(yùn)行一個(gè)較大的服務(wù)器,那么每天都會(huì)有幾個(gè)新的和過期的電子郵件帳戶更改。需要將這些帳戶從 /etc/passwd 賦予的更大的訪問權(quán)隔離開來。
構(gòu)建一個(gè)替代性帳戶數(shù)據(jù)存儲(chǔ)是一個(gè)認(rèn)真而嚴(yán)肅的建議嗎?的確如此,這確實(shí)令人驚訝。為了使由無需登錄的用戶占多數(shù)的非常龐大的 /etc/passwds 正常工作,過去幾年已經(jīng)投入了大量的工作。如果您確實(shí)決定編寫自己的帳戶認(rèn)證,并且依靠象 sendmail 這樣的傳統(tǒng)電子郵件程序,那么您很可能發(fā)現(xiàn)自己正在為 SMTP、POP3 和 IMAP4 服務(wù)器編寫更改。
那些障礙常常使開發(fā)人員傾向于使用現(xiàn)成的軟件。我的習(xí)慣是使用別人已編寫好而我可以重用的解決方案。但是,與這些業(yè)界使用的服務(wù)器不同的一點(diǎn)在 于:我還是常常需要定制它們 — 例如,設(shè)置特殊消息目錄、日志記錄信息或使用記帳。對(duì)我來說最重要的一點(diǎn)是使安全性考慮事項(xiàng)模塊化。我希望能夠?qū)㈤_發(fā)人員和管理員帳戶與最終用戶服務(wù)完全 分開地加以管理。通過將后者從 /etc/passwd 清除,我可以很容易地鎖定一方而不會(huì)影響另一方。
使策略自動(dòng)化
和將開發(fā)人員帳戶與用戶服務(wù)分開幾乎同樣重要的是使策略自動(dòng)化。為創(chuàng)建和刪除帳戶 — 既包括開發(fā)人員(/etc/passwd)的也包括最終用戶(電子郵件、Web 和數(shù)據(jù)庫等)的 — 建立明確而詳細(xì)的過程。盡管將這些納入可執(zhí)行文件是很好的規(guī)定,但并不完全有必要。重要的是過程是可理解的和明確的。不小心的帳戶創(chuàng)建和刪除 總是會(huì)留下安全性漏洞。應(yīng)當(dāng)與人力資源、客戶支持或其它相關(guān)部門一起檢查您的過程。如果不親身體驗(yàn)替代方案,那么您很難認(rèn)識(shí)到這是多么關(guān)鍵。
當(dāng)您沒有為添加和除去用戶帳號(hào)編寫過程時(shí),則總會(huì)出現(xiàn)這樣的結(jié)果:假定新員工周一報(bào)到,那么他或她可能到周五仍不能訪問其公司文件。或者,某人辭職,在假日聚會(huì)做了道別,可在二月份開始時(shí)仍在檢索特殊用途的公司資產(chǎn)。
帳戶自動(dòng)化一個(gè)附帶的好處是它鼓勵(lì)更加徹底的驗(yàn)證。如果開發(fā)人員沒有用不同特性配置帳戶的方便辦法,他們很可能不會(huì)執(zhí)行那些預(yù)計(jì)將使配置發(fā)生變化的應(yīng)用程序。
我最近親身經(jīng)歷了這樣的情況。我因某個(gè)緊急事件而被召來,當(dāng)時(shí)實(shí)現(xiàn)小組實(shí)際上在“正確地”允許經(jīng)理查看雇員業(yè)績(jī)?cè)u(píng)審 — 甚至包括那些不屬于他們管理的雇員!盡管聽起來可笑,但這是典型的安全性問題。它甚至在分析和設(shè)計(jì)評(píng)審期間被指出過幾次。雖然每次都向決策者反映了這個(gè)問 題,但由于它是巨大而混亂的問題集合的一部分,所以它每次都在沒有明確決議的情況下被忽略。
只有當(dāng)一位支持專家最終建立起一個(gè)一般實(shí)例的具體示例(在該示例中有幾位經(jīng)理,每位經(jīng)理有多份雇員報(bào)告)時(shí),錯(cuò)誤才得到應(yīng)有的注意。不要臨陣磨槍;要定期對(duì)所有種類的用戶帳戶的配置進(jìn)行徹底的測(cè)試。
保持警覺
安全性最困難的部分,至少對(duì)我們中的許多人而言,是如何避免犯錯(cuò)。安全性是屬于“最弱環(huán)節(jié)”事件之一,一個(gè)漏洞就可以使您目前的所有投資(不管多么龐大、計(jì)劃多么周詳)一錢不值。要做好安全性工作,您必須對(duì)原本不會(huì)考慮的事情保持警覺。
美國(guó)政府網(wǎng)站常常是證明那種挑戰(zhàn)的嚴(yán)重程度的最好例子。常在有關(guān)“反恐”的安全問題新聞中出現(xiàn)的某聯(lián)邦機(jī)構(gòu)維護(hù)一個(gè)網(wǎng)站,在那里用戶密碼在用于 更改用戶首選項(xiàng)的頁面上公開地顯示。相當(dāng)多的組織解決頻繁發(fā)生的丟失密碼問題的方法是:根據(jù)或多或少的公共信息 指定密碼(例如,“您的密碼是您出生地的頭四個(gè)字母,加上您出生年份的后兩位數(shù)字”)。
如何能避免這樣的災(zāi)難性錯(cuò)誤?遺憾的是,幾乎沒有系統(tǒng)的方法能“聰明地”成功實(shí)現(xiàn)這樣的抽象目標(biāo)。但是,在需要采取的有用步驟中,對(duì) RISKS 文摘的研究和嚴(yán)格的工程檢查是有用的步驟之一。
RISKS 是 Peter G. Neumann 自 1985 年就一直在編輯的在線時(shí)事通訊(請(qǐng)參閱下面的 參考資料)。在思考事情(特別是 Linux 服務(wù)器上的安全性)的出錯(cuò)原因方面,閱讀它是個(gè)很好的習(xí)慣。Neumann 使該文摘易讀而且有趣,當(dāng)然偶爾會(huì)令人恐怖。
您還應(yīng)該養(yǎng)成讓其他人試驗(yàn)?zāi)南敕ǖ牧?xí)慣。您可能認(rèn)為“軟件檢查”不過是找出開發(fā)人員的源代碼中放錯(cuò)地方的標(biāo)點(diǎn)符號(hào)的一種方法,但它實(shí)際上是非 常有趣和高效的實(shí)踐。特別是,檢查是對(duì)需求文檔、網(wǎng)站和所有其它產(chǎn)品的同行評(píng)審進(jìn)行組織的極佳方法。請(qǐng)進(jìn)行檢查。通過別人的眼睛查看您的工作。您將有可能 了解許多關(guān)于您服務(wù)器的安全或不安全性的信息。
轉(zhuǎn)載于:https://www.cnblogs.com/ungshow/archive/2009/01/01/1366480.html
總結(jié)
以上是生活随笔為你收集整理的[转]Linux系统中用户帐户清洁与安全方法的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: python中定义类
- 下一篇: Dtree【树形下拉框】