我们经常听到安全漏洞,用户名和密码被盗并在网上公布。 大多数情况下,显示的是大多数密码非常简单,或者是先前版本的迭代(例如,12345 紧接着 123456 进行下一次更改)。 实施密码要求可以帮助您避免在您的环境中使用弱密码。 这些强制更改有利有弊,但归根结底,身份验证仍然存在缺陷。
在 Linux 中管理密码和安全相关问题非常重要,但是您可以采取一些简单的步骤来使您的系统更安全。 下面介绍了一些可以考虑的选项。 首先,让我们看一下如何管理这些密码和帐户,然后看一下人们尝试访问这些帐户的频率。 最后,我们将介绍一些可以限制这些尝试的方法。
Linux 密码管理
使用 passwd 命令更改用户密码非常简单,但是它可以做更多的事情。 您是否知道您也可以使用它来锁定和解锁帐户? 如何通过标准输入(stdin)传递密码?
更改密码
passwd [用户名]
通过标准输入(stdin)更改密码
echo “Some_STRONG_PASSWORD” | passwd --stdin root
锁定和解锁密码
passwd -l [用户名] passwd -u [用户名]
文件
当您使用密码时,/etc/passwd 和 /etc/shadow 文件都会更新。 passwd 文件包含很多信息,但具有讽刺意味的是,不包含实际的密码哈希值。 哈希值包含在 /etc/shadow 文件中。
为什么要有 /etc/shadow 文件?
早期,哈希密码存储在 /etc/password 文件中,但是存在一个问题:每个人都需要能够读取此文件。 每个人都可以访问您的密码哈希值不是一件好事。 因此,实际的哈希值已移至 /etc/shadow 文件,该文件只能由特权用户读取。
尝试入侵的频率有多高?
您是否想知道有多少人尝试登录到您的公共服务器? last 命令向我们显示了成功尝试的次数。 lastb 命令向我们显示了不成功的尝试次数。 例如,我的服务器在过去 12 小时内有 7,464 次不成功的尝试。
额外提示:last 和 lastb 命令分别写入 /var/log/wtmp 和 /var/log/btmp 文件。 如果您发现这些文件被清零,则可能存在问题。
我们还能做什么?
我们已经看到,可能会有大量尝试登录到公共系统的行为。 那么,我们能做什么呢? 我们可以采取一些措施来限制或减轻尝试的次数。
更改端口
我们可以做的第一件事是更改 SSH 监听的端口。 这可以减少一些尝试,但是也有像 nmap 这样的工具可以扫描开放端口。
防火墙
防火墙(iptables、UFC 和 firewalld)很棒。 他们的目标是将对 SSH 的访问限制到较小的服务器集。 缺点是,如果您的 IP 更改或您尝试从新位置登录,有时您可能会把自己锁在外面。
Fail2Ban
通过 lastb 命令,我们可以使用像 Fail2Ban 这样的工具,在一定数量的不成功尝试后自动阻止 IP。
我希望这有助于您深入了解服务器上的密码,并为您提供一些限制攻击媒介的方向。
14 条评论