下载掌阅APP,畅读海量书库
立即打开
Linux系统是多用户操作系统。从功能上来说,这就意味着一个操作系统中可存在多个用户信息。事实上,Linux系统并不能识别用户输入的用户名称,而是识别用户名称对应的ID号。每个用户的ID分为两种,分别是用户ID(User ID, UID)和组ID(Group ID, GID)。Linux系统将所有用户的名称与ID的对应关系都存储在/etc/passwd目录中,passwd文件中记录的用户信息的各字段含义如图3-1所示。UID由一个32位无符号型的整数表示,用于唯一标识系统中的用户,如root用户的UID为0。GID也由一个32位无符号型的整数表示,用于定义该用户所在的组。
图3-1 用户信息的各字段含义
查询当前Linux系统新增的用户名,可以通过查询passwd文件中新增的用户名,也可以通过awk指令查询UID=0和UID≥500的用户名,执行如下命令,结果如图3-2所示。
图3-2 awk指令查询用户名
UID为0的用户拥有系统的最高权限,通过判断UID是否为0可排查系统中是否存在特权用户,执行如下命令,结果如图3-3所示。
图3-3 awk指令查询特权用户
在passwd文件中,用户密码是被保护的状态,即使用×来隐藏,实际的密码内容加密后保存在/etc/shadow目录中,shadow文件只有root权限用户才可以查看,如果该文件中密码对应字段长度为0,则表明该用户密码为空。执行如下命令,结果如图3-4所示。
图3-4 awk指令查询密码为空的用户
可利用模拟攻击的方式,检测系统用户中存在的弱口令,最常用的检查工具是Hydra(别名:九头蛇)。Hydra是一款支持多种协议的自动化弱口令检查工具,可在Linux、Windows以及Mac等多种平台安装部署。使用Hydra工具检查SSH服务弱口令的命令如下,结果如图3-5所示。
图3-5 使用Hydra工具检查SSH服务弱口令
针对系统中存在用户及权限设置等安全问题,可以采取禁用特权用户、删除多余用户、更改用户登录口令等加固措施。
(1)禁用特权用户
可通过禁用不安全的特权用户或其他普通用户的方式进行权限设置,此时就不能通过该用户进行远程SSH登录了,使用禁用指令时需要具备root权限。禁用和解禁特权用户的命令如下,结果如图3-6所示。
图3-6 禁用和解禁特权用户
(2)删除多余用户
可通过删除多余用户的方式,在一定程度上减少不安全用户带来的安全问题。添加和删除多余用户的命令如下,结果如图3-7所示。
图3-7 添加删除多余用户
(3)更改用户登录口令
当发现空口令或弱口令等安全问题时,可更改用户的登录口令,使用第三方密码生成工具keepass、pwgen等生成满足复杂度要求的口令。更改用户登录口令的命令如下,结果如图3-8所示。
图3-8 更改用户登录口令