ЛР 3.13 - Харденинг учетных записей

Все разделы лабораторной работы будут выполняться на машине web.

Настройка требований к паролю

  1. (опционально) Установите дополнительный пакет для Pluggable Authentication Module (PAM):
    apt install libpam-pwquality
  2. Отредактируйте конфигурационный файл /etc/security/pwquality.conf:
    minlen = 12
    dcredit = -2
    ucredit = -2
    minclass = 3
    maxclassrepeat = 4 
  3. Смените пароль пользователю tux2:
    passwd tux2

Ограничение срока действия учетной записи

  1. Ознакомьтесь с актуальными настройками пользователя tux2:
    chage -l tux2
  2. Задайте срок действия учетной записи:
    chage -E 2024-06-15 tux2 (замените дату)
  3. Задайте минимальный промежуток между сменами пароля:
    chage -m 5 tux2
  4. Задайте срок действия пароля:
    chage -M 100 tux2
  5. Задайте количество дней перед истечением срока действия пароля, в течение которых пользователь будет получать предупреждения:
    chage -W 10 tux2
  6. Сбросьте срок действия пароля:
    chage -d 0 tux2
  7. Заблокируйте учетную запись:
    passwd -l tux2

Ограничение возможностей sudo

  1. Создайте пользователя minitux и добавьте его в группу sudo:
    adduser minitux
    usermod -aG sudo minitux
  2. Под пользователем minitux ознакомьтесь с разрешениями sudo:
    sudo -l
  3. Отключите sudo timer для пользователя minitux, после чего попробуйте выполнить две sudo-команды подряд:
    visudo
    Defaults:minitux timestamp_timeout = 0
  4. От имени пользователя root создайте скрипт, сделайте его исполняемым и проверьте работоспособность:
    touch /root/somescript.sh
    chmod 700 /root/somescript.sh
    nano /root/somescript.sh
    #!/bin/bash
    ls -la /home

    sh /root/somescript.sh

  5. В visudo ограничьте права пользователя minitux редактированием этого файла:
    root    ALL=(ALL:ALL) ALL
    tux    ALL=(ALL:ALL) ALL
    minitux ALL=(ALL) /bin/vim /root/somescript.sh
    #%admin ALL=(ALL) ALL
    #%sudo   ALL=(ALL:ALL) ALL
  6. Проверьте, что для minitux файл доступен на редактирование, а другие sudo-команды недоступны.