Безопасность и оптимизация Linux.Редакция для Red Hat
       

Специальные пользователи.


Это очень важно. Выключите все ненужные специальные бюджеты пользователей, которые созданы по умолчанию в вашей системе (Это необходимо проделывать после каждого обновления). Linux использует их для выполнения различных операций, которые вам скорее всего не нужны. Если вы не нуждаетесь в каких-либо бюджетах – удалите их. Чем больше у вас заведено пользователей, тем легче проникнуть в систему.

Мы предполагаем, что вы используете механизм теневых паролей. Если это не так, то установите Shadow password suite – это улучшит безопасность сервера. Если вы следовали нашим инструкциям при инсталляции системы и отметили в разделе “Authentication Configuration” пункт “Enable Shadow Passwords”, то в системе активизирован механизм теневых паролей.

Для удаления пользователей используйте команду
[root@deep]# userdel username

Для удаления группы используйте команду
[root@deep]# groupdel username

Шаг 1.

Введите следующие команды на терминале для удаления специальных пользователей:
[root@deep]# userdel adm


[root@deep]# userdel lp


[root@deep]# userdel sync


[root@deep]# userdel shutdown


[root@deep]# userdel halt


[root@deep]# userdel news


[root@deep]# userdel uucp


[root@deep]# userdel operator


[root@deep]# userdel games (удалите это пользователя если вы не используете X Window).




[root@deep]# userdel gopher


[root@deep]# userdel ftp (удалите если не используете анонимный ftp).

Шаг 2.

Удалите ненужные группы пользователей.
[root@deep]# groupdel adm


[root@deep]# groupdel lp


[root@deep]# groupdel news


[root@deep]# groupdel uucp


[root@deep]# groupdel games (удалите если не используете X Window).


[root@deep]# groupdel dip


[root@deep]# groupdel pppusers


[root@deep]# groupdel popusers (удалите если не используете POP сервер).


[root@deep]# groupdel slipusers

Шаг 3.

Добавьте необходимых вам пользователей.
Чтобы добавить нового пользователя используйте команду:
[root@deep]# useradd username

Для добавления или изменения пароля для пользователя используйте команду:
[root@deep]# passwd username


Например:
[root@deep]# useradd admin

[root@deep]# passwd admin

На экране должен появиться следующий текст:
Changing password for user admin

New UNIX password: somepasswd

passwd: all authentication tokens updated successfully

Шаг 4.

Бит постоянства может быть использован для предотвращения случайного удаления или переписывания файлов, которые должны быть защищены. Они также могут быть защищены от создания символических ссылок, которые могут быть использованы для атак на файлы “/etc/passwd”, “/etc/shadow”, “/etc/group” или “/etc/gshadow”.

Для установки бита постоянства на файлы “/etc/passwd”, “/etc/shadow”, “/etc/group” и “/etc/gshadow” выполните следующие команды:
[root@deep]# chattr +i /etc/passwd

[root@deep]# chattr +i /etc/shadow

[root@deep]# chattr +i /etc/group

[root@deep]# chattr +i /etc/gshadow

Замечание. Если в будущем вам надо будет добавить новых пользователей или изменить пароли, то снимите бит постоянства с этих файлов. Также снять этот атрибут может потребоваться при инсталляции новых RPM пакетов, которые автоматически добавляют новых пользователей или новые группы.


Содержание раздела