Препоръки за силни пароли и политики за достъп в Linux

🔐 Сигурността е основен приоритет при работа с всяка операционна система. Linux е известен със своята стабилност и сигурност. Но дори най-добрите системи зависят от правилните политики за пароли и достъп. Тази статия предлага подробни насоки за създаване на силни пароли и управление на достъпа в Linux среда.

Киберзаплахите се увеличават с всеки изминал ден. Слабите пароли и неправилно настроените права за достъп представляват сериозна опасност. Добрите практики за сигурност не са лукс, а необходимост в съвременния дигитален свят.

Част 1: Основи на силните пароли в Linux

Характеристики на силната парола

🛡️ Силната парола е първата линия на защита срещу неоторизиран достъп. Ето ключовите характеристики:

1. Дължина: Минимум 12 символа. По-дългите пароли са по-устойчиви на атаки.
2. Сложност: Комбинирайте главни и малки букви, цифри и специални символи.
3. Уникалност: Никога не използвайте една и съща парола за различни акаунти.
4. Непредсказуемост: Избягвайте лична информация или думи от речника.
5. Лесна за запомняне: Трябва да е сложна, но и да не се налага да я записвате.

Примери за силни пароли

Ето няколко метода за създаване на запомнящи се, но сигурни пароли:

• Фразова парола: Използвайте цяло изречение и го модифицирайте: МоятаКотка8Обича$Риба!
• Акроними: Вземете първите букви от запомняща се фраза: КкНдВпС2022! (Когато купих нов дом във планинското село 2022!)
• Заместване на букви: Заменете букви с подобни символи: $!gUrn@_P@r0l@

💡 Не използвайте тези примери директно! Те са само за илюстрация.

Проверка на силата на паролата

Linux предлага инструменти за проверка на силата на паролите. Например:

sudo apt install pwgen pwgen -s 14 1

Създава силна, случайна парола с дължина 14 символа.

Част 2: Управление на пароли в Linux

Настройка на политики за пароли

🔄 Прилагането на политики за пароли е важно за системната сигурност. PAM (Pluggable Authentication Modules) позволява гъвкав контрол.

Инсталирайте pam_pwquality:

sudo apt install libpam-pwquality

Редактирайте конфигурационния файл:

sudo nano /etc/security/pwquality.conf

Някои ключови настройки:

minlen = 12        # Минимална дължина на паролата
minclass = 4       # Брой различни класове символи
maxrepeat = 3      # Максимален брой последователни повторения
enforce_for_root   # Прилагане на правилата за root
retry = 3          # Брой позволени опити

Управление на срока на валидност на паролите

📅 Регулярната смяна на пароли е добра практика за сигурност:

sudo chage -l username

Показва информация за срока на паролата на потребителя.

Задаване на срок на валидност:

sudo chage -M 90 username

Тази команда задава максимален срок от 90 дни за паролата.

Инструменти за управление на пароли

🧰 Linux предлага различни инструменти за управление на пароли:

• KeePassXC: Защитен мениджър на пароли с отворен код.
  Terminal Copy

  sudo apt install keepassxc

• Pass: Минималистичен мениджър на пароли за командния ред.
  Terminal Copy

  sudo apt install pass pass init „Your GPG Key ID“

• Bitwarden: Облачно решение за управление на пароли.

Част 3: Управление на потребители и достъп

Концепцията за потребители и групи

👥 Linux използва система, базирана на потребители и групи. Всеки файл и процес принадлежи на определен потребител и група.

Създаване на нов потребител:

sudo useradd -m -s /bin/bash username sudo passwd username

Добавяне на потребител към група:

sudo usermod -aG groupname username

Права на файловата система

📁 Linux използва проста, но ефективна система за права на достъп:

• Четене (r): Позволява преглед на съдържанието.
• Писане (w): Позволява модификация.
• Изпълнение (x): Позволява изпълнение или достъп до директория.

Промяна на правата на файл:

chmod 750 filename

Това дава пълни права на собственика, четене и изпълнение на групата, и никакви права за останалите.

Управление на достъпа чрез sudoers

⚙️ Файлът sudoers контролира кои потребители могат да използват sudo команди:

sudo visudo

Пример за добавяне на права:

username ALL=(ALL) ALL

За по-прецизен контрол:

username ALL=(ALL) /bin/ls, /usr/bin/apt

Това позволява на потребителя да изпълнява само конкретни команди с sudo.

Част 4: Разширени техники за сигурност

SSH защита с ключове

🔑 Използването на SSH ключове е по-сигурно от използването на пароли. Създаване на SSH ключ:

ssh-keygen -t ed25519 -C „[email protected]„

Копиране на публичния ключ на отдалечения сървър:

ssh-copy-id username@remote_host

Конфигурирайте SSH да не приема пароли:

sudo nano /etc/ssh/sshd_config

Променете или добавете:

PasswordAuthentication no
PubkeyAuthentication yes

Рестартирайте SSH услугата:

sudo systemctl restart sshd

Двуфакторна автентикация

🔐 2FA добавя допълнителен слой защита. Google Authenticator е популярно решение:

sudo apt install libpam-google-authenticator google-authenticator

Редактирайте PAM конфигурацията:

sudo nano /etc/pam.d/sshd

Добавете:

auth required pam_google_authenticator.so

SELinux и AppArmor

🛡️ Тези системи предоставят контрол на достъпа на ниво ядро:

• SELinux: По-сложна, но по-прецизна система.
• AppArmor: По-лесна за конфигуриране алтернатива.

Проверка на статуса на AppArmor:

sudo aa-status

Част 5: Добри практики и съвети

Редовни одити на сигурността

🔍 Проверявайте регулярно настройките за сигурност:

• Преглеждайте логовете редовно:
  Terminal Copy

  sudo tail -f /var/log/auth.log

• Проверявайте за неизползвани акаунти:
  Terminal Copy

  sudo lastlog | grep „Never logged in“

• Търсете необичайни процеси:
  Terminal Copy

  ps aux | grep ^root

Автоматизирани актуализации

🔄 Поддържайте системата актуална:

sudo apt install unattended-upgrades sudo dpkg-reconfigure unattended-upgrades

Резервни копия на паролите

💾 Създавайте резервни копия на паролите, но пазете копията сигурно:

• Използвайте криптирани контейнери.
• Съхранявайте на физически изолирани устройства.
• Разпечатайте важни пароли и съхранявайте в сейф.

Заключение

Сигурността в Linux е комбинация от технически мерки и добри практики. Силните пароли са само първата стъпка. Правилното управление на достъпа, редовните одити и актуализации са еднакво важни.

Не пренебрегвайте обучението на потребителите. Дори най-добрите технически мерки могат да бъдат компрометирани от неинформирани потребители. Сигурността е непрекъснат процес, а не еднократно действие.

Прилагането на препоръките в тази статия значително ще подобри сигурността на вашите Linux системи. Започнете с основните мерки и постепенно внедрявайте по-сложните техники според нуждите и ресурсите си.

Допълнителни ресурси

• The Linux Documentation Project (TLDP)
• Linux Security Wiki
• CIS Benchmarks за Linux
• Red Hat Security Guide
• Ubuntu Security Guide

С постоянство и правилни практики, вашите Linux системи ще останат защитени от повечето съвременни заплахи.