1209.1401天:权限限制
#每日三件事,第1401天#
在网络安全等级保护标准里,关于安全计算环境有这么几条测评项:
- 应对登录用户分配账户和权限;
2.应重命名或删除默认账户,修改默认账户的默认口令。
对于windows操作系统来说,默认的administrator用户,是可以重命名的,也是可以删除的。但是对于linux操作系统来说,root用户是可以重命名,也可以删除,不过这会带来很多不便。
首先,重命名root账户后,很多文件的属主和属组就会从原来的root变成其他的,导致视觉上的不适应。其次,root账户删除后,必须要新建一个uid为0的账户,接替root账户及其各种权限。
基于此,在linux系统中,关于root这个默认账户,很少有人对其进行修改。这个测评项也就成了部分符合项。
那有没有什么方法可以让Linux系统满足这个测评项的要求呢?
当然是有的!
在linux系统中创建账户时,可以指定shell。如果去看/etc/passwd文件的话,就会发现账户有这么几种shell:
/bin/bash
/sbin/nologin
/sbin/halt
/sbin/shutdown
/bin/sync
其中/bin/bash shell的账户可以正常登录并执行相关命令,/sbin/nologin shell的账户,是不能正常登录的。
标准要求重命名或删除默认账户,防止暴力破解是很大的一个因素。由于绝大部分用户不会重命名root账户,因此只需要对root进行暴力破解就可以了。如果root账户的shell变成了/sbin/nologin的话,就算给你root的口令,你根本没办法登录。针对root账户所有工作,都是徒劳。
接下来就是重新创建一个账户,将其uid修改为0就可以了。
[test@localhost ~]$ su - root
密码:
上一次登录:四 12月 8 18:03:26 CST 2022tty2 上
This account is currently not available.
[test@localhost ~]$
知道口令有能如何呢?根本无法登录!
[root@localhost ~]# more /etc/passwd | grep 0:0
root:x:0:0:root:/root:/sbin/nologin
toor:x:0:0::/home/toor:/bin/bash
用toor账户登录系统:
[root@localhost ~]# mkdir abc
[root@localhost ~]# touch abc.test
[root@localhost ~]# ll
total 0
drwxr-xr-x. 2 root root 6 Dec 9 09:10 abc
-rw-r--r--. 1 root root 0 Dec 9 09:10 abc.test
[root@localhost ~]# whoami
root
[root@localhost ~]# id
uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
[root@localhost ~]# id toor
uid=0(root) gid=0(root) groups=0(root)
[root@localhost ~]#
创建文件,管理系统,虽然是toor账户登录,但做的完全是root账户的工作。如果你让uid为0的账户名称稍微复杂一点,就可以杜绝黑客暴力破解了。
