Linux 安全策略：限制用户登录与访问

在当今数字化时代，Linux 操作系统以其稳定性、安全性和开源性而被广泛应用于各种服务器和工作站环境中。随着网络攻击的不断增加，确保 Linux 系统的安全性变得尤为重要。其中，限制用户登录与访问是构建强大 Linux 安全策略的关键环节之一。

一、用户账户管理

1. 创建用户账户

- 谨慎创建用户账户，确保每个用户都有明确的业务需求。避免创建不必要的用户账户，以减少潜在的安全风险。

- 使用强密码策略，要求用户设置复杂的密码，包括大小写字母、数字和特殊字符，且密码长度不少于 8 位。

- 定期更改密码，建议每隔一定时间（如 90 天）强制用户更改密码，以降低密码被破解的风险。

2. 删除无用用户账户

- 定期审查系统中的用户账户，删除不再使用的用户账户。无用的用户账户可能成为攻击者的目标，删除它们可以减少系统的安全隐患。

- 对于长期未登录的用户账户，也应进行审查和处理。如果这些账户确实不再使用，应及时删除。

二、SSH 登录限制

1. 禁用 root 直接登录

- 禁止 root 用户直接通过 SSH 登录系统，这是提高系统安全性的重要措施。通过限制 root 登录，可以减少攻击者利用 root 权限进行攻击的机会。

- 为每个用户分配特定的用户账户，并使用普通用户身份进行日常操作。在需要进行系统管理任务时，使用 sudo 命令以提升权限，而不是直接使用 root 账户。

2. 设置 SSH 连接限制

- 限制 SSH 连接的源 IP 地址，只允许特定的 IP 地址或 IP 地址范围访问系统。可以通过修改 SSH 配置文件来实现这一功能，例如在 /etc/ssh/sshd_config 文件中添加以下配置：

```

AllowUsers user1@192.168.1.100 user2@192.168.1.101

```

上述配置限制了只有 user1 的 IP 地址为 192.168.1.100 和 user2 的 IP 地址为 192.168.1.101 才能通过 SSH 登录系统。

- 设置 SSH 连接的超时时间，避免长时间未活动的连接占用系统资源。可以在 SSH 配置文件中添加以下配置：

```

ClientAliveInterval 60

ClientAliveCountMax 3

```

上述配置表示如果在 60 秒内没有活动，SSH 连接将发送一个心跳消息，如果在 3 个心跳消息（即 180 秒）内没有活动，SSH 连接将被断开。

3. 使用密钥登录

- 推广使用密钥登录，而不是密码登录。密钥登录可以提供更高的安全性，因为密钥是基于公钥加密算法生成的，不容易被破解。

- 为每个用户生成一对密钥（公钥和私钥），将公钥添加到用户的 authorized_keys 文件中，用户在登录时只需提供私钥即可。这样可以避免使用密码登录带来的安全风险。

三、文件系统访问控制

1. 使用文件权限控制

- 对系统中的文件和目录设置适当的权限，确保只有授权用户能够访问和修改它们。可以使用 chmod 和 chown 命令来修改文件和目录的权限和所有者。

- 例如，对于重要的系统文件和配置文件，可以设置为只读权限，以防止用户误修改它们。对于用户自己的文件和目录，可以设置为读写权限。

2. 使用访问控制列表（ACL）

- 在 Linux 系统中，可以使用访问控制列表来更精细地控制文件和目录的访问权限。ACL 允许对单个用户或用户组设置特定的访问权限，而不仅仅是基于文件所有者和所属组的权限。

- 例如，可以使用 setfacl 命令为特定用户或用户组设置对某个文件的读取和写入权限：

```

setfacl -m u:user1:rwx file.txt

```

上述命令为 user1 用户设置了对 file.txt 文件的读取、写入和执行权限。

四、日志记录与监控

1. 启用系统日志

- 确保系统日志功能已启用，记录系统的各种活动，包括用户登录、文件访问、系统错误等。可以通过修改 syslog.conf 配置文件来设置日志记录的级别和目的地。

- 定期检查系统日志，及时发现异常活动和安全事件。可以使用日志分析工具来对日志进行分析和监控，以便及时采取措施。

2. 监控用户活动

- 使用监控工具来监控用户的登录和访问活动，例如使用 iptables 工具来监控网络连接，使用 last 命令来查看用户的登录历史等。

- 设定阈值和报机制，当检测到异常活动时，及时发出报通知系统管理员。

通过实施以上 Linux 安全策略，可以有效地限制用户登录与访问，提高系统的安全性。安全是一个持续的过程，需要不断地更新和改进安全策略，以应对不断变化的安全威胁。用户也应提高安全意识，遵守安全规定，共同维护系统的安全。