Различия
Здесь показаны различия между двумя версиями данной страницы.
| Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
|
wiki:руководство_по_ubuntu_server:безопасность:user_management [2012/06/16 21:28] [Политика паролей] |
wiki:руководство_по_ubuntu_server:безопасность:user_management [2012/06/16 22:47] (текущий) [Иные соображения безопасности] |
||
|---|---|---|---|
| Строка 102: | Строка 102: | ||
| 1. Для простого просмотра текущего статуса учетной записи пользователя используйте следующий синтаксис: | 1. Для простого просмотра текущего статуса учетной записи пользователя используйте следующий синтаксис: | ||
| <code>sudo chage -l username</code> | <code>sudo chage -l username</code> | ||
| - | + | Вывод, приведенный ниже, показывает интересные факты об учетной записи пользователя, а именно что нет никаких примененных политик: | |
| - | The output below shows interesting facts about the user account, namely that there are no policies applied: | + | <code> |
| Last password change : Jan 20, 2008 | Last password change : Jan 20, 2008 | ||
| Password expires : never | Password expires : never | ||
| Строка 112: | Строка 111: | ||
| Maximum number of days between password change : 99999 | Maximum number of days between password change : 99999 | ||
| Number of days of warning before password expires : 7 | Number of days of warning before password expires : 7 | ||
| - | + | </code> | |
| - | To set any of these values, simply use the following syntax, and follow the interactive prompts: | + | 2. Для установки этих значений просто используйте следующую команду и следуйте интерактивным подсказкам: |
| - | + | <code>sudo chage username</code> | |
| - | sudo chage username | + | Далее также пример того, как можно вручную изменить явную дату истечения действия пароля (-E) на 01/31/2008 (американский вариант даты - прим. пер.), минимальный срок действия пароля (-m) на 5 дней, максимальный срок действия (-M) на 90 дней, период бездействия (-I) на 5 дней после истечения срока пароля и период предупреждений (-W) на 14 дней до истечения срока пароля. |
| - | + | <code>sudo chage -E 01/31/2011 -m 5 -M 90 -I 30 -W 14 username</code> | |
| - | The following is also an example of how you can manually change the explicit expiration date (-E) to 01/31/2008, minimum password age (-m) of 5 days, maximum password age (-M) of 90 days, inactivity period (-I) of 5 days after password expiration, and a warning time period (-W) of 14 days before password expiration. | + | 3. Для проверки изменений используйте ту же команду, что и упоминалась выше: |
| - | + | <code>sudo chage -l username</code> | |
| - | sudo chage -E 01/31/2011 -m 5 -M 90 -I 30 -W 14 username | + | Вывод команды ниже показывает новые политики, которые применяются к учетной записи: |
| - | + | <code> | |
| - | To verify changes, use the same syntax as mentioned previously: | + | |
| - | + | ||
| - | sudo chage -l username | + | |
| - | + | ||
| - | The output below shows the new policies that have been established for the account: | + | |
| Last password change : Jan 20, 2008 | Last password change : Jan 20, 2008 | ||
| Password expires : Apr 19, 2008 | Password expires : Apr 19, 2008 | ||
| Строка 134: | Строка 127: | ||
| Maximum number of days between password change : 90 | Maximum number of days between password change : 90 | ||
| Number of days of warning before password expires : 14 | Number of days of warning before password expires : 14 | ||
| + | </code> | ||
| ====Иные соображения безопасности==== | ====Иные соображения безопасности==== | ||
| - | Many applications use alternate authentication mechanisms that can be easily overlooked by even experienced system administrators. Therefore, it is important to understand and control how users authenticate and gain access to services and applications on your server. | + | Многие приложения используют альтернативные механизмы аутентификации, которые могут быть запросто пропущены даже опытными системными администраторами. Поэтому важно понимать и контролировать как пользователи авторизуются и получают доступ к сервисам и приложениям на вашем сервере. |
| - | + | ||
| - | ===SSH Access by Disabled Users=== | + | |
| - | + | ||
| - | Simply disabling/locking a user account will not prevent a user from logging into your server remotely if they have previously set up RSA public key authentication. They will still be able to gain shell access to the server, without the need for any password. Remember to check the users home directory for files that will allow for this type of authenticated SSH access. e.g. /home/username/.ssh/authorized_keys. | + | |
| - | Remove or rename the directory .ssh/ in the user's home folder to prevent further SSH authentication capabilities. | + | ===Доступ по SSH заблокированными пользователями=== |
| - | Be sure to check for any established SSH connections by the disabled user, as it is possible they may have existing inbound or outbound connections. Kill any that are found. | + | Обычное отключение/блокирование не исключает удаленного подключения пользователя к серверу, если ему предварительно была установлена аутентификация по открытому ключу RSA. Такие пользователи будут получать доступ к консольной оболочке (shell) на сервере без необходимости ввода какого-либо пароля. Не забывайте проверять пользовательские домашние каталоги на файлы, которые позволяют подобный тип авторизации по SSH, например, /home/username/.ssh/authorized_keys. |
| - | Restrict SSH access to only user accounts that should have it. For example, you may create a group called "sshlogin" and add the group name as the value associated with the AllowGroups variable located in the file /etc/ssh/sshd_config. | + | Удаление или переименование каталога .ssh/ в домашнем каталоге пользователя предотвратит дальнейшую способность аутентификации по SSH. |
| - | AllowGroups sshlogin | + | Убедитесь что проверили любые установленные SSH соединения заблокированных пользователей, поскольку могут остаться входящие или исходящие соединения. Убейте все, которые найдете. |
| - | Then add your permitted SSH users to the group "sshlogin", and restart the SSH service. | + | Ограничьте SSH доступ только для учетных записей пользователей, которым они требуются. Например, вы можете создать группу с названием %%"sshlogin"%% и добавить имя группы в качестве значения для переменной AllowGroups, находящейся в файле /etc/ssh/sshd_config. |
| + | <code>AllowGroups sshlogin</code> | ||
| + | Затем добавьте ваших пользователей, которым разрешен SSH доступ, в группу %%"sshlogin"%% и перестартуйте SSH сервис. | ||
| + | <code> | ||
| sudo adduser username sshlogin | sudo adduser username sshlogin | ||
| sudo service ssh restart | sudo service ssh restart | ||
| + | </code> | ||
| - | ===External User Database Authentication=== | + | ===Аутентификация по внешней базе данных=== |
| - | Most enterprise networks require centralized authentication and access controls for all system resources. If you have configured your server to authenticate users against external databases, be sure to disable the user accounts both externally and locally, this way you ensure that local fallback authentication is not possible. | + | Большинство корпоративных сетей требуют централизованной аутентификации и контроля доступа для всех системных ресурсов. Если вы настроили свой сервер для аутентификации пользователей по внешней базе данных, убедитесь, что вы отключаете учетные записи как внешние, так и локальные, таким образом вы будете уверены что откат на локальную аутентификацию невозможен. |
| ---- | ---- | ||
