系统安全防护全解析
系统安全基础设置
在保障系统安全方面,首先推荐创建一个新的、相对无特权的用户,例如www-data,并以该用户身份运行 Apache。很多人误以为“nobody”意味着没有用户,但实际上它是一个特定的用户。有人认为将文件所有者设为“nobody”就没人能访问,这种想法是错误的,不建议这么做。
系统漏洞评估
保障系统安全的首要任务是评估其漏洞,需要检查的方面包括:
-密码策略:理想的密码应至少包含 8 个字符,是字母和数字的随机组合,且大小写字母都有。然而,这样的密码很难记住,大多数人常用容易记住的密码,如配偶或亲属的名字等,这类密码容易受到字典攻击或猜测攻击。另外,/etc/passwd文件通常是全局可读的,攻击者可以获取该文件并对编码后的密码进行暴力破解。
-Shadow Suite:它是用于创建和维护系统用户安全设置的工具集,解决了之前密码工具存在的一些漏洞,如/etc/passwd文件全局可读的问题,还增强了密码管理功能,其特点如下:
- 编码后的密码只有 root 用户可以访问。
- 账户信息可以设置有效期,用户会被自动提示定期更改密码,也可创建临时账户。
- 用户需要创建强密码。
- 账户/密码管理工具得到改进。
- 包含一个用于设置登录默认值的配置文件/etc/login.defs。
/etc/shadow文
)
