Як обмежити можливості входу користувачів на Ubuntu

Як обмежити можливості входу користувачів на Ubuntu

Система Ubuntu пропонує гнучкі можливості налаштування для керування доступом користувачів. Ефективне обмеження можливостей входу допомагає захистити системи від несанкціонованого доступу та забезпечує відповідність нормативним вимогам. Ця стаття містить детальний посібник із налаштування параметрів входу в Ubuntu з різними рівнями обмежень.

Переваги обмеження входу користувачів

Обмеження можливостей входу надає численні переваги, зокрема:

* Поліпшення безпеки: Запобігання несанкціонованому доступу та захист даних.
* Відповідальність: Відстеження дій користувачів, що сприяє підзвітності та відповідальності.
* Дотримання нормативних вимог: Відповідність стандартам безпеки, таким як HIPAA та PCI DSS.
* Управління ризиками: Зменшення ризиків безпеки, пов’язаних з несанкціонованим доступом.
* Контроль доступу: Обмеження доступу користувачів до певних областей системи або програм.

Обмеження доступу до графічного інтерфейсу користувача

Один із найпоширеніших способів обмеження входу користувачів — запобігання їхньому доступу до графічного інтерфейсу користувача (GUI).

1. Вимкнення служби LightDM

LightDM — це диспетчер дисплея, який відповідає за графічний інтерфейс входу. Щоб вимкнути його, виконайте такі дії:


$ sudo systemctl disable lightdm
$ sudo systemctl stop lightdm

2. Налаштування файлу /etc/pam.d/common-auth

Редагуйте файл /etc/pam.d/common-auth за допомогою редактора текстових файлів, як-от nano:


$ sudo nano /etc/pam.d/common-auth

Додайте наступний рядок:


auth required pam_succeed_if.so user != root quiet

Ця зміна вимагатиме від усіх користувачів, крім root, автентифікації через командний рядок.

Обмеження доступу до командного рядка

Запобігання доступу користувачів до командного рядка унеможливлює доступ незалежно від GUI.

1. Видалення оболонки користувача

Щоб видалити оболонку користувача, яка зазвичай є /bin/bash, виконайте таке:


$ sudo usermod -s /sbin/nologin <username>

Замініть <username> ім’ям користувача, доступ до якого потрібно обмежити.

2. Налаштування файлу /etc/shells

Відредагуйте файл /etc/shells за допомогою текстового редактора:


$ sudo nano /etc/shells

Видаліть або прокоментуйте будь-які оболонки, до яких не повинні мати доступу користувачі. Наприклад, ви можете видалити рядок:


/bin/bash

Налаштування обмежень за допомогою sudo

Команда sudo дозволяє користувачам запускати команди з правами суперкористувача.

1. Налаштування файлу /etc/sudoers

Відредагуйте файл /etc/sudoers за допомогою редактора текстових файлів:


$ sudo visudo

Додайте рядок, який обмежує права користувача username певними командами:


username ALL=(ALL) /usr/bin/command1, /usr/bin/command2

Замініть username, command1 і command2 відповідними значеннями.

2. Використання sudoers.d

Файли в каталозі /etc/sudoers.d також використовуються для налаштування правил sudo. Ви можете створити окремий файл для кожної групи користувачів або користувача.

Наприклад, щоб створити файл для групи admins і заборонити їм запускати команду rm -rf, створіть файл з іменем admins у каталозі /etc/sudoers.d:


%admins ALL = /bin/rm -rf

Перевірка обмежень

Після налаштування обмежень виконайте такі дії, щоб перевірити їх:

* Перезавантажте систему і спробуйте ввійти як обмежений користувач.
* Спробуйте виконати команди або дії, які мали бути обмежені.

Якщо обмеження працюють належним чином, користувач не зможе виконати заборонені дії.

Висновок

Ефективне обмеження можливостей входу користувачів є невід’ємною частиною забезпечення безпеки та відповідності нормативним вимогам у системах Ubuntu. Цей посібник надає покрокові інструкції щодо налаштування параметрів входу, щоб запобігти несанкціонованому доступу та забезпечити відповідність корпоративним політикам. Ретельно застосовуйте ці кроки, щоб захистити дані та ресурси у вашій системі Ubuntu.

Поширені запитання

Q: Які наслідки вимкнення LightDM?

A: Це заборонить графічний інтерфейс входу, що вимагатиме від користувачів входити через командний рядок.

Q: Як я можу дозволити певному користувачеві виняток з обмежень?

A: Створіть файл .pam_environment у домашньому каталозі користувача і додайте:


TMOUT=0

Q: Що станеться, якщо користувач спробує ввійти після налаштування обмежень?

A: Вони побачать повідомлення про помилку і не зможуть отримати доступ до системи.

Q: Як я можу перевірити, чи застосовуються обмеження до певного користувача?

A: Скористайтеся командою sudo visudo -u username для перегляду правил sudo для конкретного користувача.

Q: Що робити, якщо я хочу повністю заблокувати користувача?

A: Видалите користувача за допомогою команди sudo userdel username.

Q: Які ще інструменти можна використовувати для обмеження можливостей входу?

A: Ви можете використовувати такі інструменти, як Fail2ban і DenyHosts.

Q: Як я можу застосувати ці обмеження до кількох систем одночасно?

A: Розгляньте можливість використання інструментів для керування конфігурацією, таких як Ansible або Puppet.

Q: Чи є якісь графічні інтерфейси для налаштування обмежень входу?

A: Є інструменти, такі як Політика безпеки Synaptic, які надають графічний інтерфейс для керування параметрами входу.

Q: Чи є якісь додаткові поради щодо підвищення безпеки входу?

A: Включіть двофакторну автентифікацію, застосовуйте надійні паролі та відстежуйте спроби входу в систему за допомогою інструментів, таких як журналізація або syslog.