【51CTO.com快譯】 由于Linux操作系統(tǒng)是一個(gè)開放源代碼的免費(fèi)操作系統(tǒng)，因此受到越來越多用戶的歡迎，隨之其安全問題也備受關(guān)注。在本文，筆者整理了Linux賬號(hào)的安全管理具體實(shí)施方法。

對(duì)象OS：SunOS, Linux, AIX, HP-UX

一、 設(shè)置密碼最小長度

漏洞概述：為了防止密碼遭到暴力破解攻擊(Brute Force Attack)或口令字猜測(cè)攻擊(Password Guessing)，需要檢查密碼最小長度是否被設(shè)置，密碼最小長度未設(shè)置或設(shè)置很短的情況下容易遭受攻擊;

安全對(duì)策：需修改密碼策略設(shè)置文件將密碼最小長度設(shè)為8位以上;

安全設(shè)置方法：

- SunOS

1)使用vi編輯器打開"/etc/default/passwd"文件

2)設(shè)置為PASSLENGTH=8

- Linux

1)使用vi編輯器打開"/etc/login.defs"文件

2)設(shè)置為PASS_MIN_LEN 8

- AIX

1)使用vi編輯器打開"/etc/security/user"文件

2)設(shè)置為minlen=8

- HP-UX

1)使用vi編輯器打開"etc/default/security"文件

2)設(shè)置為MIN_PASSWORD_LENGTH=8

二、 設(shè)置密碼最長使用期限

漏洞概述：如未設(shè)置密碼最長使用期限，一段時(shí)間后密碼很可能會(huì)泄露，因而造成攻擊者的非法訪問;

安全對(duì)策：修改密碼策略設(shè)置文件，將密碼最長使用期限設(shè)置為90天(12周);

安全設(shè)置方法：

- SunOS
#cat /etc/default/passwd
MAXWEEKS=12
- Linux
#cat /etc/login.defs
PASS_MAX_DAYS 90
- AIX
#cat /etc/security/user
maxage=12
- HP-UX
#cat /etc/default/security
PASSWORD_MAXDAYS=90

三、 刪除不必要的賬號(hào)

漏洞概述：安裝OS或Package時(shí)，默認(rèn)生成的賬號(hào)大部分使用默認(rèn)的密碼，很容易被惡用于口令字猜測(cè)攻擊，因此需要確認(rèn)"lp, uucp, nuucp"等默認(rèn)賬號(hào)與可疑的特定賬號(hào)的存在與否并將其刪除;

安全對(duì)策：確認(rèn)目前注冊(cè)的賬號(hào)情況并將不必要的賬號(hào)刪除;

安全設(shè)置方法：

- SunOS, Linux, AIX, HP-UX

i. 確認(rèn)未使用賬號(hào)與可疑賬號(hào)的存在與否

(* 參考"passwd"文件結(jié)構(gòu))

#cat /etc/passwd

ii. 檢查不使用的默認(rèn)賬號(hào)(例如，lp, uucp, nuucp賬號(hào))

#cat /etc/passwd | grep "lp|uucp|nuucp"

- 通過Log確認(rèn)

i. 通過檢測(cè)登錄失敗記錄來確認(rèn)未使用和可疑賬號(hào)

#cat /var/adm/loginlog (SunOS, AIX, HP-UX) / #cat /var/log/loginlog (Linux)
#cat /var/adm/authlog (AIX, HP-UX) / #cat /var/log/authlog (SunOS)
#cat /var/adm/sulog (SunOS, AIX, HP-UX) / #cat /var/log/sulog (Linux)

l 通過以上方法確認(rèn)到不必要的賬號(hào)時(shí)請(qǐng)按以下方法進(jìn)行設(shè)置

- SunOS, Linux HP-UX

i. 確認(rèn)注冊(cè)到服務(wù)器的不必要用戶賬號(hào)

ii. 通過userdel命令刪除該用戶賬號(hào)

#userdel

- AIX

i. 確認(rèn)注冊(cè)到服務(wù)器的不必要用戶賬號(hào)

ii. 通過rmuser命令刪除該用戶賬號(hào)

#rmuser

l 一般需要攔截的默認(rèn)賬號(hào)如下：

- adm, lp, sync, shutdown, halt, news, uucp, operator, games, gopher, nfsnobody, squid等。

四、 管理員組中只保留最少的賬號(hào)

漏洞概述：管理系統(tǒng)的root賬號(hào)所屬的組擁有系統(tǒng)運(yùn)營文件的訪問權(quán)限，該組如果疏忽管理，一般用戶有可能會(huì)以管理員的權(quán)限非法訪問系統(tǒng)，進(jìn)行惡意修改或變更等操作，因此該組需要只保留盡可能少的賬號(hào);

安全對(duì)策：將目前注冊(cè)到管理員組的不必要賬號(hào)刪除;

 安全設(shè)置方法：

- SunOS, Linux, HP-UX
#cat /etc/group(* 請(qǐng)參考"group"文件結(jié)構(gòu))
- AIX
#cat /etc/group
system:!:0:root

◆如果管理員組存在不必要的賬號(hào)，請(qǐng)參考如下方法進(jìn)行設(shè)置

- SunOS, Linux, HP-UX

i. 使用vi編輯器打開"/etc/group"文件

ii. 刪除注冊(cè)在root組的不必要的賬號(hào)(例如，刪除test賬號(hào))

刪除前：root:x:0:root,test;刪除后：root:x:0:root

- AIX

i. 使用vi編輯器打開"/etc/group"文件

ii. 刪除注冊(cè)在system組的不必要的賬號(hào)(例如，刪除test賬號(hào))

刪除前：system:!:0:root,test;刪除后：system:!:0:root

五、 禁止不存在賬號(hào)的GID

漏洞概要：因疏于對(duì)賬號(hào)組的管理，如存在沒有賬號(hào)的組時(shí)，該組的文件有可能會(huì)泄露向非相關(guān)人員;

*GID(Group Identification)：多個(gè)用戶為了共享特定的個(gè)體而建立的相關(guān)聯(lián)的特定的組，主要用來處理賬號(hào)，每個(gè)用戶可以擁有多個(gè)GID。

安全對(duì)策：如存在沒有組員賬號(hào)的組時(shí)，需及時(shí)與管理員溝通并將其刪除;

安全設(shè)置方法：

- SunOS, Linux, HP-UX, AIX
#cat /etc/group(*請(qǐng)參考"group"文件結(jié)構(gòu))

- Linux
#cat /etc/gshadow

*gshadow文件："shadow"文件中，正如用戶賬號(hào)的密碼都存儲(chǔ)在內(nèi)一樣，通過系統(tǒng)內(nèi)存在的組的密碼信息存儲(chǔ)文件可以設(shè)定組的管理員和成員，"gshadow"文件內(nèi)的字段結(jié)構(gòu)如下：

[組名：密碼：管理員，管理員……：成員，成員……]

◆如存在沒有成員賬號(hào)的組，請(qǐng)按照以下方式刪除

- SunOS, Linux, AIX, HP-UX
#groupdel

出處：IT보물창고

標(biāo)題：[리눅스 보안] 리눅스 계정관리，作者：하늘이데아

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】