ЛР 3.13 - Харденинг учетных записей
Все разделы лабораторной работы будут выполняться на машине web.
Настройка требований к паролю
- (опционально) Установите дополнительный пакет для Pluggable Authentication Module (PAM):
apt install libpam-pwquality
- Отредактируйте конфигурационный файл /etc/security/pwquality.conf:
minlen = 12
dcredit = -2
ucredit = -2
minclass = 3
maxclassrepeat = 4
- Смените пароль пользователю tux2:
passwd tux2
Ограничение срока действия учетной записи
- Ознакомьтесь с актуальными настройками пользователя tux2:
chage -l tux2
- Задайте срок действия учетной записи:
chage -E 2024-06-15 tux2
(замените дату)
- Задайте минимальный промежуток между сменами пароля:
chage -m 5 tux2
- Задайте срок действия пароля:
chage -M 100 tux2
- Задайте количество дней перед истечением срока действия пароля, в течение которых пользователь будет получать предупреждения:
chage -W 10 tux2
- Сбросьте срок действия пароля:
chage -d 0 tux2
- Заблокируйте учетную запись:
passwd -l tux2
Ограничение возможностей sudo
- Создайте пользователя minitux и добавьте его в группу sudo:
adduser minitux
usermod -aG sudo minitux
- Под пользователем minitux ознакомьтесь с разрешениями sudo:
sudo -l
- Отключите sudo timer для пользователя minitux, после чего попробуйте выполнить две sudo-команды подряд:
visudo
Defaults:minitux timestamp_timeout = 0
- От имени пользователя root создайте скрипт, сделайте его исполняемым и проверьте работоспособность:
touch /root/somescript.sh
chmod 700 /root/somescript.sh
nano /root/somescript.sh
#!/bin/bash
ls -la /home
sh /root/somescript.sh
- В
visudo
ограничьте права пользователя minitux редактированием этого файла:
root ALL=(ALL:ALL) ALL
tux ALL=(ALL:ALL) ALL
minitux ALL=(ALL) /bin/vim /root/somescript.sh
#%admin ALL=(ALL) ALL
#%sudo ALL=(ALL:ALL) ALL
- Проверьте, что для minitux файл доступен на редактирование, а другие sudo-команды недоступны.