49、提升Linux系统安全性的最佳实践

提升Linux系统安全性的最佳实践

1. 认证协议

• RADIUS协议 ：RADIUS协议允许认证服务器不仅对用户账户进行认证，还能对用户的其他信息（如网络地址、电话号码和访问权限）进行认证。虽然它不如LDAP通用，但能为网络中的多个设备认证提供一些基本的数据库功能。
• TACACS+协议 ：终端访问控制器访问控制系统（TACACS）定义了一系列在服务器环境中提供远程认证的协议。原始的TACACS认证协议在Unix系统早期很流行，它使用集中式认证服务器从单个数据库服务器对用户账户进行认证。网络上的每个服务器都单独向集中式服务器提交认证请求，即使有一个公共的认证数据库，用户也需要分别登录每个服务器。Cisco Systems对原始的TACACS协议进行了更新，称为TACACS+。TACACS+协议集成了完整的认证、授权和计费功能，并且在数据穿越网络时对其进行加密。

2. 多因素认证

传统的用户ID/密码认证方法存在诸多问题，容易被用户共享，从而导致系统安全风险。为了提供更安全的登录环境，多年来开发了多种多因素认证方法，要求用户提供两种信息才能登录系统：他们知道的信息（如密码）和他们拥有的东西。以下是几种常见的多因素认证类型：
- 生物识别技术 ：这是最基本的双因素认证形式，利用用户的物理特征（如指纹、虹膜扫描甚至面部识别）进行认证。
- 令牌 ：数字令牌将数字ID存储为加密文件，用户必须向服务器出示该文件才能获得访问授权。令牌可以是硬件令牌（通常存储在USB设备