실용적인 리눅스 사용자 계정 청소 및 보안 방법

보안은 거 대 하 고 도전적인 주제, 하지만 서버 쪽에서 일 하는 사람 기본 단계를 알고 있어야 합니다. 카 메 론 깨끗 하 고 안전한 사용자 계정을 유지 하는 몇 가지 방법을 설명 합니다. 보안은 큰 문제 이다. 그것은 않을 같은, 그리고 그것의 하드를 얼마나 확장 하는 데 필요한 알고: 만약 당신이 조심 하지, 당신의 상사 정말 그의 연간 예산, 보고에서 도어맨을 유지 하려는 경우 당신은 마침내 그 보안의 이점을 이해 해야 믿습니다. 어떻게 추세를 도전 컴퓨팅 보안의 모든 측면에는, 충분히 성숙 체계적으로 공부 하는 여러 영역이 있습니다. 리눅스 서버를 사용 하는 사람에 대 한 좋습니다 배울 그 첫 번째 지역 계정 관리입니다. 참고 사용자의 리눅스 관리 및 프로그래밍에 첫 번째도 서의 많은 사용자 관리 또는 계정 관리에 대 한 챕터를 포함 합니다. 그들의 의미는 매우 분명 하다: 설정 및 유지 관리 하는 방법 당신의 호스트를 사용 하는 사람들을 위한 계정 및 그룹 관계 계산. 그 당시, 반드시 "로그인" 의미 "사용" 합니다. 계정 관리의 전체 작업 부서의 개발자의 대다수와 기본 사용자가 사용할 수 있도록 명령 등 Useradd, Chsh, 리눅스 계정 구성 것입니다. / ETC/PASSWD 및 Api와 리눅스 전문가의 초점입니다. 그 시대는 오래 전에 사라지고, 그리고 대부분의 서버에 나의 첫 번째 추천/etc/passwd의 대부분을 취소 하는. 내 말은, 역사적 이유로, 대부분의 전자 메일 서버, 웹 서버, 파일 서버 및 사용/etc/passwd에 대 한 사용자 액세스를 관리 하에. 그것은 일반적으로 실수 하는 것이 같아요. 이전에, 이것은 이상의 10 또는 20 개 이상의 합리적인 방법 하이 엔드 워크 스테이션을 공유 하는 엔지니어. 그러나, 전통적인/etc/passwd 접근은 실수 때 전자 메일 서버를 다루는 사용자, 그들 중 대부분은 단순히 컴퓨팅 물 디스펜서 또는 전화 시스템 같은 공용 시설으로 고려의 수천 수만의 할 수 있습니다. 그것은 확실히/etc/passwd에 의존 수 있습니다. 그것은 충분 한 땜 질 하 고 놀라운 작업에 대처 하기 위해 조정 겪고 있다. 하지만 반드시. 사용자 계정이 LDAP (경량 디렉터리 액세스 프로토콜) 또는 심지어 RDBMS (관계형 데이터베이스 관리 시스템) 데이터 저장소와 같은 전문화 된 데이터 저장소에 이동 하는 경우 확장성, 보안 및 유지 관리에서 활용할 수 있습니다. 제한/etc/passwd 개발자와 관리자가 로그온 해야 정말 소수만을. 이 연습 때문에 훌륭한 보안 혜택은 서비스의 사용자 (전자 메일 및 웹, 등) 개발자로 서 바쁜 되지 않습니다. 새 서버를 설정 하면, 그것 의/etc/passwd 자주 변경 되지 않습니다 한다. 모니터 업데이트-특히 변경 되는 경우-간단한 작업입니다. 그러나, 더 큰 서버를 실행 하는 경우 있을 것입니다 몇 가지 새로운 및 만료 된 전자 메일 계정 변경 사항을 매일입니다. 이러한 계정은 더 큰 권한을 부여/ETC/PASSWD에 의해에서 고립 될 필요가 있다. 심각 하 고 진지한 제안을 대체 계정 데이터 저장소 건물은? 실제로, 그것은 놀라운입니다. 작품의 큰 거래를 만들기 위해 지난 몇 년 동안 완료 되었습니다는 매우 큰/등/passwds, 대부분의 사용자가 로그온 할 필요 없이,이 제대로 작동. SendMail 같은 전통적인 전자 메일 프로그램에 의존 하 고 자신의 계정 인증을 작성을 할 경우, 당신은 아마 찾아낼 글 변경 SMTP, POP3 및 IMAP4 서버에 대 한. 그 장벽을 종종 개발자 상용 소프트웨어를 사용 하는 경향이 확인 하십시오. 내 습관 사용 하는 솔루션을 다른 사람이 작성 했습니다 그리고 난 다시 사용할 수 있습니다. 그러나, 이러한 산업에 의해 사용 되는 서버와 달리: 나는 종종 그들을 사용자 정의할 필요가-예를 들어 특별 한 메시지 디렉터리 설정, 정보, 로깅 또는 회계를 사용 하 여. 모듈형 보안 고려 사항을 만들기 위해 나를 위해 가장 중요 한 것이입니다. 최종 사용자 서비스에서에서 완전히 별도로 개발자 및 관리자 계정을 관리할 수 있을 싶어요. 제거 함으로써 후자 는/etc/passwd에서, 난 쉽게 다른 쪽에 영향을 주지 않고 측면을 잠글 수 있습니다. 정책 자동화 및 사용자 서비스에서 개발자 계정 구분은 거의 자동화 정책으로 중요 합니다. 계정을 모두 개발자 (/ ETC/PASSWD) 및 최종 사용자 (전자 메일, 웹, 데이터베이스, 등) 작성 및 삭제에 대 한 명확 하 고 상세한 절차를 설정 합니다. 좋은 규칙은 이러한 실행 파일에 통합 하는 동안 완전히 필요 하지 않습니다. 그것은 과정은 이해 하 고 분명 합니다. 부주의 한 계정 만들기 및 삭제 항상 보안 구멍을 남겨 주세요. 인적 자원, 고객 지원, 또는 다른 관련 부서와 프로세스를 검토 해야 합니다. 이것이 얼마나 중요 한 실현 하기 어렵습니다 만약 당신이 스스로 대안을 발생 하지 않습니다. 추가 및 제거 하는 사용자 계정에 대 한 절차, 작성 하지 않는 경우 항상 않을는 새로운 직원을 월요일에 보고 하는 경우 그 또는 그녀가 하지 수 있습니다 금요일 그의 회사 파일에 액세스 하려면 결과가 이다. 또는, 사임 하 고 크리스마스 파티에 안녕 말했다 사람 여전히 2 월의 시작에 특수 목적 회사의 자산을 검색할 수 있습니다. 계정 자동화의 부수적 이점은 그것 보다 철저 한 검증을 장려입니다. 개발자가 편리 하 게 다른 특징을 가진 계정을 구성 하는 경우 그들은 가장 가능성이 수행 하지 않습니다 응용 프로그램 구성을 변경 하는 것으로 예상 된다. 나는 최근에 이것을 경험 했다. 내가 불렀다 비상 하는, 구현 팀은 실제로 "제대로" 보기 직원 성능 리뷰도 그를 그들의 관리에 속하지 않는 관리자 허용! 이것은 일반적인 보안 문제, 그것은 소리 말도 있지만입니다. 그것은 심지어 지적 했다 여러 번 분석 및 설계 검토. 비록 모든이 문제를 정책 입안자를 반영 하지만 그것의 일부는 거 대 하 고 혼란 문제 때문에, 그것은 분명 해결 하지 않고 모든 시간 무시 됩니다. 오류 인해 얻을 주의 경우에 지원 전문가 마침내 일반 인스턴스의 구체적인 예를 여러 관리자에, 각 관리자는 여러 직원 보고서만. 마십시오 하지 주입 하 고 정기적으로 테스트 하는 사용자 계정의 모든 종류의 구성. 체재 경고. 보안의 가장 어려운 부분 적어도 우리의 많은입니다 실수를 방지 하는 방법. 그러나 보안 하나는 "약한 링크"의 이벤트 및 취약점 수 쓸모 없는 모든 현재 투자, 크고 계획. 안전한 일을 할 당신은 당신이 그렇지 않으면 고려 하는 것을 경고 해야 합니다. 미국 정부 웹사이트는 종종 그 도전의 심각도의 최고의 예입니다. 연방 기관에 "보복 테러"의 안전 뉴스에 자주 나타나는 사용자 암호 공개 사용자 환경 설정을 변경 하는 데 사용 하는 페이지에 표시 되는 웹 사이트를 유지 관리 합니다. 단체의 상당수는 더 많거나 적은 공공 정보 (예를 들어 "암호는 당신의 생가의 처음 네 글자 플러스 출생의 년의 후자 두 자리")에 따라 암호를 할당 하 여 암호 문제의 빈번한 손실 주소. 어떻게 같은 치명적인 실수를 피할 수 있습니까? 불행히도, 몇 가지 시스템을 성공적으로 "지능적" 같은 추상적인 목표를 달성할 수 있다. 그러나, 주의가 필요한 유용한 단계에서는 위험 다이제스트와 엄격한 엔지니어링 검사 공부 하기 유용한 단계 중 하나입니다. 위험은 피터 G. Neumann 1985 년부터 편집 온라인 뉴스 레터 (아래 자료 참조). 그것을 읽고 생각에 대 한 것 들, 특히 리눅스 서버에 보안에 오류의 원인에 대 한 생각 하는 좋은 습관입니다. 노이만 쉽게 다이제스트 읽기 흥미, 물론, 그리고 가끔 무 섭 다. 또한 아이디어를 다른 사람들이 시험을 시키는의 습관을 개발 해야 합니다. "소프트웨어 확인" 어떤 문장 부호는 개발자의 소스 코드에서 잘못 된 밖으로 찾을 수 있는 방법 이지만 그것은 실제로 매우 재미 있고 효율적인 연습을 생각할 수 있습니다. 특히, 검사는 요구 사항 문서, 웹 사이트, 그리고 다른 모든 제품의 피어 리뷰를 구성 하는 훌륭한 방법입니다. 확인 하시기 바랍니다. 다른 사람의 눈을 통해 작업 보기 당신은 아마 보안 또는 서버 불안정에 대해 많이 배우게 됩니다. 책임 편집자: 눈송이 (전화: (010) 68476636-8008) (0 표)를 강제로 (0 표) 넌센스 (0 표)의 전문 (0 표) 파티 (0 표) (0 표) 원래 전달의 제목: 실용적인 리눅스 사용자 계정 깨끗 하 고 안전한 방법 열 재활용 빈 집에 반환