بازدیدها: ۱۹۳
برای ایجاد و نگهداری حسابهای کاربری از فرمانهای useradd و usermod استفاده کنید. اطمینان حاصل کنید که از سیاست رمز عبور مناسب و پیچیدهای استفاده میکنید. به عنوان مثال، یک رمز عبور مناسب و قوی رمزی است که حداقل ۸ کاراکتر داشته باشد و ترکیبی از حروف (حروف کوچک و بزرگ)، اعداد و کاراکترهای ویژه باشد. یکی از ابزارهایی که میتوانید از آن برای یافتن رمزهای عبور ضعیف در سیستمعامل استفاده کرد، ابزار John the Ripper است.
۱. طول عمر رمز عبور
فرمان chage تعداد روزهای مابین تغییر رمزعبور و آخرین زمان تغییر را مشخص میکند. این اطلاعات میتواند توسط سیستم برای تعیین زمانی که یک کاربر باید رمزعبور خود را تغییر دهد استفاده شود. فایل etc/login.defs پیکربندی خاص رمزعبور را مشخص میکند که شامل پیکربندی طول عمر رمزعبور نیز میشود. برای غیر فعال کردن طول عمر رمزعبور، دستور زیر را وارد کنید:
chage -M 99999 userName
برای دریافت اطلاعات مربوط به منقضی شدن رمز عبور دستور زیر را وارد کنید:
chage -l userName
در نهایت میتوانید فایل /etc/shadow را مانند زیر ویرایش کنید:
{userName}:{password}:{lastpasswdchanged}:{Minimum_days}:{Maximum_days}:{Warn}:{Inactive}:{Expire}:
که در آن،
Minimum_days: حداقل تعداد روزها مابین تغییر رمز عبور است، به عنوان مثال، تعداد روزهایی که تا زمان تغییر رمز عبور توسط کاربر باقیمانده است.
Maximum_days: حداکثر تعداد روزهایی است که رمز عبور معتبر است (بعد از آن کاربر مجبور به تغییر رمز عبور خود است).
Warn: تعداد روزهایی است که پیش از آنکه رمزعبور منقضی شود به کاربر اخطار داده میشود تا رمز عبور خود را تغییر دهد.
Expire: روزهایی که از تاریخ ۱ ژانویه ۱۹۷۰ حساب کاربری غیر فعال شده است. بهعنوان مثال، یک تاریخ کاملاً مشخص که از آن به بعد هیچ ورودی توسط کاربر انجام نشده است.
توصیه میشود فرمان را به صورت زیر تغییر دهید بهجای آنکه فایل /etc/shadow را به صورت دستی ویرایش نمایید:
# chage -M 60 -m 7 -W 7 userName
۲. محدود کردن استفاده از رمزعبورهای قبلی
میتوانید مانع از بهکارگیری یا استفادهی مجدد رمزهای عبور قبلی توسط تمامی کاربران شوید. پارامترهای یادآوری ماژول pam_unix میتوانند برای پیکربندی تعداد رمزهای عبور پیشین که نمیتوانند مجدداً استفاده شوند بهکار روند. برای آشنایی با نحوه پیکربندی پارامترهایpam_unix، به زودی آموزش مربوطه در مقالات سایت قرار خواهد گرفت.
۳. قفل شدن حساب کاربری پس از عدم موفقیت در ورود به سیستم
در سیستمهای عامل خانوادهی لینوکس شما میتوانید فرمان faillog را برای نمایش رکوردهای ورود ناموفق کاربران یا تنظیم محدودیتهای ورود ناموفق استفاده کنید. faillog شمارش ورودهای ناموفق را از فایل پایگاه داده /logبه /var/log/faillog قالببندی میکند. همچنین میتواند برای نگهداری شمارندهها و محدودیتهای ورودهای ناموفق استفاده شود. برای مشاهدهی تلاشهای ناموفق برای ورود، فرمان زیر را وارد نمایید:
faillog
به منظور قفل نمودن حساب کاربری پس از تلاشهای ناموفق برای ورود به سیستم ، دستور زیر را اجرا کنید:
faillog -r -u userName
توجه کنید که میتوانید فرمان passwd را برای قفل نمودن یا فعالسازی حساب نیز استفاده کنید:
passwd -l username
passwd -u userName
۴. چگونه بفهمیم هیچ حسابی بدون رمزعبور نیست؟
فرمان زیر را وارد کنید:
awk -F: ‘($2 == “”) {print}’ /etc/shadow
تمامی حسابهایی که بدون رمزعبور هستند را قفل کنید:
passwd -l accountName
۵. اطمینان از این موضوع که هیچ کاربری غیر از کاربر root دارای UID برابر 0 نیست.
تنها حساب کاربری root باید دارای UID برابر 0 باشد تا بتوانند یک مجوز کامل برای دسترسی به سیستم داشته باشد. فرمان زیر را برای نمایش تمامی حسابهای کاربری با UID برابر 0 وارد کنید:
awk -F: ‘($3 == “0”) {print}’ /etc/passwd
شما باید تنها یک فرمان مشابه خط زیر در خروجی فوق مشاهده کنید:
root:x:0:0:root:/root:/bin/bash
اگر خطوط بیشتری با UID برابر 0 مشاهده کردید، آنها را حذف نمایید.