核心安全原则
-
强密码策略
- 长度:≥12字符(关键系统建议16+)
- 复杂度:混合大小写字母、数字、特殊符号(如
!@#$%^&*) - 避免常见词:禁止公司名、用户名、重复字符(如 “Admin123!”)
- 示例:
V7@q#P9!eF$g2*L(避免使用此示例,仅作格式参考)
-
权限最小化
- 禁用 root 远程登录(Linux)
# 修改 /etc/ssh/sshd_config PermitRootLogin no
- 使用 sudo 提权:为管理员分配普通账户,仅需时提权
- 组权限管理:通过用户组控制访问(如
web-admins,db-admins)
- 禁用 root 远程登录(Linux)
-
定期轮换密码
- 关键账户每 30-90 天强制更换
- 使用脚本自动化检测过期账户(Linux 示例):
chage -M 90 <username> # 设置90天有效期 chage -l <username> # 检查策略
进阶安全措施
密钥认证替代密码(SSH)
# 客户端生成密钥对 ssh-keygen -t ed25519 -f ~/.ssh/server_admin_key # 上传公钥到服务器 ssh-copy-id -i ~/.ssh/server_admin_key.pub user@server # 禁用密码登录(完成测试后) PasswordAuthentication no
多因素认证(MFA)
- SSH MFA(Google Authenticator):
# 安装依赖 sudo apt install libpam-google-authenticator # 配置 /etc/pam.d/sshd 和 /etc/ssh/sshd_config
密码存储与分发
- 使用加密保险库:
- HashiCorp Vault
- Bitwarden(企业版)
- 禁止明文存储:永不通过邮件/IM发送密码
操作清单
Linux 系统
-
重置密码:
sudo passwd <username> # 交互式修改 echo "username:new_password" | chpasswd # 非交互式(谨慎使用)
-
锁定/解锁账户:
sudo usermod -L <username> # 锁定 sudo usermod -U <username> # 解锁
-
审计账户:
sudo grep 'Failed password' /var/log/auth.log # 检查失败登录 sudo lastlog # 查看最近登录
Windows 系统
-
组策略强化:
gpedit.msc> 计算机配置 > Windows设置 > 安全设置 > 账户策略- 启用:密码必须符合复杂性要求
- 设置:密码最短使用期限、强制密码历史
-
PowerShell 管理:
# 重置密码 Set-ADAccountPassword -Identity "username" -NewPassword (ConvertTo-SecureString "新密码" -AsPlainText -Force) # 启用账户 Enable-ADAccount -Identity "username"
应急响应
-
可疑活动处理:
- 立即重置所有关联账户密码
- 检查
/etc/passwd和/etc/shadow异常修改时间 - 审计
sudoers文件 (/etc/sudoers.d/*)
-
密码泄露后:
# 强制所有用户下次登录修改密码 chage -d 0 <username>
自动化工具推荐
| 工具 | 用途 |
|---|---|
| Ansible Vault | 加密剧本中的敏感数据 |
| LDAP/Kerberos | 集中式身份管理 |
| Fail2ban | 自动封锁暴力破解IP |
关键提醒
- 🔐 永远不要共享个人管理账户:每个管理员使用独立账户
- 🚨 离职员工立即禁用账户:包括所有接入途径(SSH、API、数据库等)
- 📅 定期审计:每月检查账户列表、sudo权限、登录日志
- 💡 密码≠万能:结合防火墙(仅允许可信IP访问22端口)、IDS(如 Suricata)构建纵深防御
最后忠告:当管理上千台服务器时,手动管理密码等于埋雷,务必转向证书认证或集中式IAM系统(如 FreeIPA),并制定严格的密码生命周期策略,安全无小事,一次泄露足以摧毁整个基础设施。
图片来源于AI模型,如侵权请联系管理员。作者:酷小编,如若转载,请注明出处:https://www.kufanyun.com/ask/290963.html
