Användarkonton

Radera alla användarkonton som inte ska finnas. Kontona root, bin, daemon, adm, lp, sync, halt, mail, news, uucp, operator, shutdown bör vara kvar men sätt en * som lösenord för alla utom för root. Se till så att det inte finns några konton utan lösenord, dvs konton där lösenordsfält är tomt ( user::12:13:Nisse användare:/home/user:/bin/bash). Ha inga konton med enkla lösenord, t.ex. games med lösenord games eller liknande. Kör regelbundet något lösenordknäckarprogram (till exempel crack) för att kontrollera så att användarna inte har för enkla lösenord. Dela inte ut användarkonton till någon som du inte känner någorlunda väl.

Om någon väl har lyckats ta sig in på ett konto är det mycket enklare för den personen att komma åt root-behörighet jämfört med om personen aldrig har kommit åt att använda något användarkonto.

Tänk på att användarna i sig kan utgöra en säkerhetsrisk. Det kan vara medvetet eller omedvetet.

Du bör stänga konton som inte har använts på länge.

Spara en kopia av lösenordsfilen på ett media som går att skrivskydda. Ta fram kopian igen efter ett antal månader och jämför lösenorden. Säg till de användare som inte har bytt lösenord att de bör göra det.

Det går även att tvinga användare att byta lösenord regelbundet. Att byta lösenord regelbundet ger dock inte automatiskt höjd säkerhet.
För att tvinga en användare att regelbundet behöva byta lösenord minst var x:e dag kan man använda kommandot chage. Exempel för att tvinga användaren stina att byta sitt lösenord minst var 180:e dag:
chage -M 180 stina

Använd gärna shadow passwords, dvs lösenorden sparas inte i /etc/passwd utan i en separat fil, /etc/shadow. För en användare ser det då ut enligt följande i /etc/passwd:
user:x:16:102:User Real Name:/home/user:/bin/bash
och i filen /etc/shadow ser motsvarande rad för användaren ut i stil med:
user:i7uTDlslFQZXc:10291:0:::::

Sök efter filer som inte har någon ägare eller inte tillhör någon grupp. Programmet find är utmärkt för att söka efter sådana filer.

find / -nouser -o -nogroup -print

Använd aldrig ett shellscript som loginskal och setuida ALDRIG ett shellscript (vilket tack och lov normalt inte går att göra i Linux).

Copyright © 2010-2024 Kjell Enblom.
This document is covered by the GNU Free Documentation License, Version 1.3

Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included in the section entitled "GNU Free Documentation License".