Hvordan sikre at alle nye brukerkataloger blir opprettet uten verdensleselige tillatelser i Linux

Hvordan legge til brukere til grupper i Linux Jack Wallen viser deg hvor enkelt det er å legge brukere til grupper fra Linux kommandolinjegrensesnitt.

Hvis du administrerer en Linux-server, er sjansen stor for at serveren kan brukes av mange brukere. Faktisk har du sannsynligvis opprettet disse brukerne selv. Eller kanskje en annen administrator opprettet brukerne. Uansett er det sannsynligvis et antall brukere som jobber på serveren, som hver har sin egen hjemmekatalog. Ting er at når de hjemmekatalogene ble initialisert, er sjansen stor for at de ble opprettet med verdensleselige tillatelser. Det betyr at alle på serveren kan lese innholdet i andre brukeres filer. Selv om de kanskje ikke kan redigere filene, kan de fortsatt lese dem. For noen selskaper kan det betraktes som et sikkerhetsproblem. Hvis det er tilfelle, hva gjør du da? Hvis brukerne allerede var opprettet, må du gå gjennom og fjerne verdenslesbare tillatelser manuelt med kommando som:

 sudo chmod 0750 / home / USER 

Hvor USER er navnet på den faktiske brukeren.

Men du vil ikke være nødt til å fortsette å gjøre det fremover, da det ville være bortkastet din dyrebare tid. Hvorfor setter du i stedet opp systemet slik at hver gang du oppretter en ny bruker, vil brukerens hjemmekatalog bli opprettet sans verdensleselige tillatelser. Nå er det veien å gå.

Jeg skal demonstrere hvordan jeg gjør dette på Ubuntu Server 18.04, men prosessen er den samme for nesten alle Linux-distribusjoner.

Hva du trenger

Enkel. Du trenger en fungerende Linux-distribusjon, en konto med sudo-rettigheter og favoritttekstredigereren din (min er nano).

Adduser.conf

Når du oppretter en ny bruker, med adduser-kommandoen, trekkes standardene for brukeren fra filen /etc/adduser.conf . På grunn av dette vil vi gjøre en endring i filen, slik at hver nye brukerkatalog som legges til, vil bli gjort uten verdensleselige tillatelser. For å gjøre dette, åpne filen med kommandoen sudo nano /etc/adduser.conf (erstatt nano med favoritttekstredigereren).

Når filen er åpen, se etter linjen DIR_MODE. Standardverdien for denne linjen vil være:

 DIR_MODE = 0755 

Det er det som er ansvarlig for å gi den nye brukerens hjemmekatalog den tillatelsen vi ikke ønsker. Endre linjen til:

 DIR_MODE = 0750 

Lagre og lukk den filen. Gi nå kommandoen:

 sudo adduser USERNAME 

Hvor USERNAME er navnet på det nye brukernavnet som skal legges til. Gå gjennom spørsmålene for å legge til brukeren ( figur A ).

Figur A

Opprette brukerens stierney.


Når brukeren er opprettet, gir du kommandoen ls -l / home for å se at den nye brukeren ble opprettet uten globale r-rettigheter ( figur B ).

Figur B

Sam Tierneys hjemmekatalog kan ikke leses av andre brukere.


Fra dette tidspunktet vil hver nye bruker opprettes med en sikrere hjemmekatalog. Uten sudo-tillatelser vil ikke brukerne kunne se innholdet i hjemmekatalogene. Ved å bruke sudo kan brukere selvfølgelig se innholdet i andre hjemmekataloger, så det å ikke gi standardbrukere sudo-privilegier kan være en policy du vil vurdere. Den gode nyheten er at å opprette nye brukere med adduser-kommandoen ikke automatisk legger dem til sudo-gruppen. Så dette burde ikke være noe problem.

Nyt den ekstra sikkerheten

Når denne nye konfigurasjonen er på plass, kan brukerne dine være sikre på at ingen andre standardbrukere vil kunne se innholdet i hjemmemappene. For alle Linux-systemer som har flere brukere som logger seg på og fungerer, kan dette betraktes som et must-do for administratorer. Nyt dette ekstra sikkerhetslaget.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2020 | mobilegn.com