Användarkonton

Radera alla användarkonton som inte ska finnas. Kontona root, bin, daemon, adm, lp, sync, halt, mail, news, uucp, operator, shutdown bör vara kvar men sätt en * som lösenord för alla utom för root. Se till så att det inte finns några konton utan lösenord, dvs konton där lösenordsfält är tomt ( user::12:13:Nisse användare:/home/user:/bin/bash). Ha inga konton med enkla lösenord, t.ex. games med lösenord games eller liknande. Kör regelbundet något lösenordknäckarprogram (till exempel crack) för att kontrollera så att användarna inte har för enkla lösenord. Dela inte ut användarkonton till någon som du inte känner någorlunda väl. Du får inte, enligt policy på Linköpings universitet, dela ut konton till några utanför .liu.se.

Om någon väl har lyckats ta sig in på ett konto är det mycket enklare för den personen att komma åt root-behörighet jämfört med om personen aldrig har kommit åt att använda något användarkonto.

Tänk på att användarna i sig kan utgöra en säkerhetsrisk. Det kan vara medvetet eller omedvetet.

Du bör stänga konton som inte har använts på länge.

Spara en kopia av lösenordsfilen på ett media som går att skrivskydda. Ta fram kopian igen efter ett antal månader och jämför lösenorden. Säg till de användare som inte har bytt lösenord att de bör göra det.

Använd gärna shadow passwords, dvs lösenorden sparas inte i /etc/passwd utan i en separat fil, /etc/shadow. För en användare ser det då ut enligt följande i /etc/passwd:
user:x:16:102:User Real Name:/home/user:/bin/bash
och i filen /etc/shadow ser motsvarande rad för användaren ut i stil med:
user:i7uTDlslFQZXc:10291:0:::::

Sök efter filer som inte har någon ägare eller inte tillhör någon grupp. Programmet find är utmärkt för att söka efter sådana filer.

find / -nouser -o -nogroup -print

Använd aldrig ett shellscript som loginskal och setuida ALDRIG ett shellscript (vilket tack och lov normalt inte går att göra i Linux).

Copyright © 2010 Kjell Enblom.
This document is covered by the GNU Free Documentation License, Version 1.1