Como controlar o usuário privilegiado no Linux

Apesar do crescente número de crimes cibernéticos, muitas empresas que estão dispostas a investir em medidas de segurança adequadas estão muito melhor protegidas hoje do que no passado. A solução e as práticas de segurança estão avançando rapidamente para acomodar novas ameaças e ajudar as empresas a ficar à frente da curva.

No entanto, nem todas as empresas estão dispostas a fazer os investimentos necessários e, definitivamente, nem todas as ameaças são vistas como iguais. Embora a empresa definitivamente empregue soluções básicas de segurança, como firewalls e antivírus, nem todo mundo faz o investimento necessário em segurança de contas privilegiadas e monitoramento de ação do usuário, com muitos optando pela medida interna padrão que seus software e sistemas fornecem.

O Linux, em particular, tem a reputação de ser menos vulnerável ao malware, mas suas contas privilegiadas são de fato muito propensas a ataques de hackers e uso indevido por insiders maliciosos. Vejamos mais detalhadamente como controlar o usuário privilegiado no Linux e quais medidas de segurança o Linux fornece fora da caixa para ajudar a proteger as contas privilegiadas e quão eficazes elas são realmente.

Tipos de contas Linux

Igual ao Windows, o Linux apresenta vários tipos de contas:

• Super usuário ou raiz - Esta é uma conta administrativa padrão que permite um controle total do sistema semelhante à conta do Windows Administrator. Os privilégios raiz do Linux permitem que o usuário execute quaisquer comandos e controla quaisquer serviços e outras contas, altere as permissões do usuário, adicione o usuário ao grupo, etc.
• Usuário normal - Esta é uma conta regular com conjunto restrito de privilégios de usuário do Linux. Ele não pode acessar nenhum recurso ou serviço crítico do sistema e precisa de permissão do usuário root para executar determinados comandos.
• Usuário do sistema - Uma conta de usuário com o mesmo nível de privilégio que o usuário normal, reservado para o uso por vários aplicativos. Essas contas são empregadas para fornecer solicitações certas permissões ou isolá -las para fins de segurança.

O Linux permite grande flexibilidade com suas contas. Você pode criar várias contas root linux, se necessário, e também atribuiu diferentes permissões a contas ou grupos de contas. Você também pode alterar diretamente as permissões para leitura, escrita e execução de certos arquivos ou diretórios, bem como sua propriedade, que determina diretamente a autoridade do usuário sobre os arquivos referidos. Toda essa flexibilidade, no entanto, é uma faca de dois gumes, facilitando o perpetrador ou um insider malicioso com experiência em tecnologia para usar ou roubar dados protegidos.

Por fim, a conta raiz é o ponto mais vulnerável do sistema, pois é necessário para o acesso a arquivos e configurações protegidos, e o Linux tem algumas maneiras internas de proteger essa conta.

Segurança de conta privilegiada

Qualquer conta raiz ativa deve sempre ser protegida com uma senha, e o Linux solicitará que você defina uma durante a instalação ou quando você decidir usar a conta raiz pela primeira vez. No entanto, diretamente usando a conta raiz não é o curso de ações mais seguro para uma organização, especialmente se você tiver vários administradores de sistema.

Uma maneira muito melhor é usar uma conta regular e ativar temporariamente os privilégios de raiz, usando comandos SU ou SUDO. Ambos os comandos executam uma tarefa semelhante - permitem delegar o privilégio administrativo à conta regular, mas funcionam um pouco diferentemente. Para usar o SU, seu administrador precisa conhecer a senha de sua própria conta e da raiz. Embora isso possa fornecer camada de proteção adicional quando sua conta é comprometida, não é ideal do ponto de vista da ameaça privilegiada.

O comando sudo permite obter o nível de privilégio de raiz sem a necessidade de saber senha raiz. Permissão para acessar o comando sudo para outros usuários é decidido diretamente pela raiz. O sudo desativa quaisquer privilégios adicionais quando o usuário permanece inativo por mais de cinco minutos, exigindo senha na próxima vez, o que ajuda a proteger o console quando o administrador sai sem desativar o acesso privilegiado.

No geral, essas medidas básicas de segurança permitem limitar a extensão do poder que o administrador possui sobre o sistema e permite rastrear melhor o uso de contas administrativas. Por exemplo, se o administrador fez login em um momento incomum, pode ser motivo de preocupação por violação ou ataque interno. No entanto, sem a visão adequada das ações do usuário, a proteção confiável contra ataques internos não pode ser garantida. Vejamos o que as ferramentas Linux fornece no departamento de monitoramento de usuários.

Ferramentas de monitoramento Linux embutidas

O Linux possui vários comandos que permitem aos usuários privilegiados acessar logs e monitorar o uso de vários recursos do sistema. O mais básico deles é a principal ferramenta que fornece uma visão geral dinâmica de todos os processos atualmente em execução. Você pode não apenas verificar a utilização de recursos do sistema, mas também ver todos os comandos executados e outras informações úteis que podem fornecer algumas dicas sobre o que seus usuários estão fazendo.
Linux também é famoso por sua rede de rede integrada. Ao contrário da ferramenta Windows semelhante, ela permite não apenas visualizar o tráfego de rede em tempo real, mas também capturá -lo para análise posterior, o que fornece uma boa quantidade de visibilidade ao uso da rede.

No geral, o Linux possui funcionalidade de monitoramento incorporada bastante robusta, mas foi projetada principalmente para manutenção técnica e solução de problemas. Ele não apresenta dados de maneira conveniente e não permite obter facilmente uma visão geral das ações do usuário, o que torna sua utilidade para a detecção de ameaças privilegiadas bastante limitada.

Embora o Linux tenha várias ferramentas internas para controlar e proteger contas privilegiadas, em um ambiente moderno de segurança cibernética, esse nível de proteção não é suficiente. Novas ameaças e vulnerabilidades surgem muito tempo, e Linux não está imune a eles. Se você deseja proteger verdadeiramente seu sistema Linux, precisa empregar um gerenciamento de acesso privilegiado profissional e soluções de monitoramento de usuários privilegiados que lhe darão uma visibilidade total de quem conectou com uma conta privilegiada e o que eles estão fazendo.