2.8. Seguridad y usuarios

Una aspecto muy importante de Linux es su capacidad para que lo usen varios usuarios a la vez. En consecuencia, los usuarios pueden trabajar de manera independiente en el mismo sistema Linux. Cada usuario tiene una cuenta de usuario identificada mediante un nombre de inicio de sesión y una contraseña personal para iniciar la sesión en el sistema. Todos los usuarios cuentan con sus propios directorios personales donde se pueden almacenar sus archivos y configuraciones.

2.8.1. Gestión de usuarios

Para crear y editar usuarios, utilice Gestión de usuarios. Proporciona un resumen de los usuarios del sistema, incluidos los usuarios NIS y LDAP si así se solicita. Si forma parte de una red extensa, haga clic en Definir filtro para mostrar todos los usuarios por categorías (por ejemplo, usuarios Root o los de NIS). También puede personalizar los ajustes del filtro haciendo clic en Personalizar filtro.

Para añadir nuevos usuarios, haga clic en Añadir e introduzca los datos adecuados. Finalice la adición haciendo clic en Aceptar. El nuevo usuario podrá iniciar sesión de inmediato mediante el nombre de inicio de sesión y la contraseña que acaba de crear.

Inhabilite el inicio de sesión del usuario con la opción correspondiente. Para ajustar los perfiles de usuario de forma precisa, emplee Detalles. Aquí podrá definir manualmente el ID de usuario, el directorio personal, la shell de inicio de sesión por defecto y asignar el nuevo usuario a grupos específicos. Configure la validez de la contraseña en Configuración de contraseña. Haga clic en Aceptar para guardar todos los cambios.

Para suprimir un usuario, selecciónelo en la lista y haga clic en Suprimir. Marque si desea suprimir el directorio personal y haga clic en para confirmar.

En el caso de la administración avanzada de usuarios, utilice Opciones avanzadas para definir los ajustes por defecto para la creación de nuevos usuarios. Seleccione el método de autenticación de usuarios (como NIS, LDAP, Kerberos o Samba), los ajustes de inicio de sesión (sólo con KDM o GDM) y el algoritmo para el cifrado de contraseñas. Los ajustes Opciones predeterminadas para nuevos usuarios y Cifrado de contraseña sólo se aplican a los usuarios locales. El ajuste Autenticación y fuentes de usuarios proporciona la descripción general de la configuración y la opción para configurar el cliente. También se puede realizar una configuración avanzada de los clientes mediante este módulo. Después de aceptar la configuración, vuelva a la descripción general inicial de la configuración. Haga clic en Escribir cambios si desea guardar todos los cambios sin salir del módulo de configuración.

2.8.2. Gestión de grupos

Para crear y editar grupos, seleccione Gestión de grupos o haga clic en Grupos en el módulo de administración de usuarios. Los dos cuadros de diálogo tienen las mismas funciones, lo que le permite crear, editar o suprimir grupos.

Este módulo proporciona una descripción general de todos los grupos. Tal y como ocurre en el cuadro de diálogo de administración de usuarios, puede cambiar los ajustes de filtrado haciendo clic en Definir filtro.

Para añadir uno, haga clic en Añadir y rellene los datos correspondientes. Seleccione los miembros del grupo en la lista, marcando la casilla correspondiente. Haga clic en Aceptar para crear el grupo. Para editar un grupo, selecciónelo en la lista y haga clic en Editar. Haga todos los cambios necesarios y guárdelos con Aceptar. Para suprimir un grupo, simplemente selecciónelo de la lista y haga clic en Suprimir.

Haga clic en Opciones avanzadas para la administración avanzada de grupos. Encontrará más información sobre estas opciones en la Sección 2.8.1, “Gestión de usuarios”.

2.8.3. Seguridad local

Para aplicar un conjunto de ajustes de seguridad a todo el sistema, utilice Configuración de seguridad. Entre estos ajustes se encuentran los de seguridad para el arranque, el inicio de sesión, las contraseñas, la creación de usuarios y los permisos de archivos. SUSE Linux ofrece tres conjuntos de seguridad preconfigurados: Estación de trabajo particular, Estación de trabajo en red y Servidor de red. Para modificar los valores por defecto, seleccione Detalles. Para crear su propio esquema, utilice Configuración personalizada.

Estos son algunos de los ajustes detallados o personalizados:

Ajustes de contraseña

Para que el sistema compruebe las nuevas contraseñas antes de que se acepten, haga clic en Comprobar nuevas contraseñas y Comprobar la complejidad de las contraseñas. Defina la longitud mínima de las contraseñas para los usuarios recién creados. Defina el periodo durante el que la contraseña debería ser válida y cuántos días antes de que caduque la contraseña se debe emitir una alerta cuando el usuario inicie la sesión en la consola de texto.

Ajustes de arranque

Especifique cómo debe interpretarse la combinación de teclas Ctrl-Alt-Supr al seleccionar la acción deseada. Normalmente, al introducir esta combinación en la consola de texto el sistema se rearranca. No modifique los ajustes a menos que se pueda acceder al equipo o al servidor públicamente y tema que alguien pueda llevar a cabo esta acción sin autorización. Si selecciona Parar, esta combinación de teclas hace que el sistema se apague. Con Ignorar se omite esta combinación de teclas.

Si utiliza el gestor de inicio de sesión de KDE (KDM), emplee Comportamiento de apagado de KDM para definir los permisos para apagar el sistema. Dé permisos Sólo root (sólo al administrador del sistema), a Todos los usuarios, a Nadie o a los Usuarios locales. Si se selecciona Nadie, sólo podrá apagarse el sistema mediante la consola de texto.

Configuración del inicio de sesión

Normalmente, después de un intento fallido de inicio de sesión, hay un período de espera que dura unos segundos antes de que sea posible iniciar la sesión de nuevo. De esta forma es más difícil que los husmeadores de contraseñas puedan iniciar una sesión. Active de manera opcional Registrar inicios de sesión correctos y Permitir inicio de sesión gráfico remoto. Si sospecha que alguien está intentando descubrir su contraseña, compruebe las entradas en los archivos de registro del sistema en /var/log. Para proporcionar acceso a la pantalla de inicio de sesión gráfico a otros usuarios de la red, habilite Permitir inicio de sesión gráfico remoto. Debido a que esta posibilidad de acceso representa un riesgo potencial de seguridad, está inactiva por defecto.

Adición de usuarios

Cada usuario tiene un ID de usuario numérico y alfabético. La correlación entre ellos se establece mediante al archivo /etc/passwd y debería ser lo más exclusivo posible. Con la ayuda de los datos de esta pantalla, defina el rango de números asignados a la parte numérica del ID de usuario cuando se añade un nuevo usuario. Un mínimo de 500 es adecuado para los usuarios. Los usuarios generados por el sistema automáticamente comienzan con 1000. Prosiga de la misma manera con los ajustes de los ID de grupo.

Ajustes varios

Para utilizar ajustes de permisos predefinidos, seleccione Sencilla, Segura o Paranoica. Sencilla debería ser suficiente para la mayoría de los usuarios. El ajuste Paranoica es muy restrictivo y puede servir como nivel básico de funcionamiento para los ajustes personalizados. Si selecciona Paranoica, recuerde que algunos programas pueden no funcionar correctamente o que simplemente no funcionen ya que los usuarios ya no tienen permiso para acceder a determinados archivos.

Defina también qué usuario debe iniciar el programa updatedb si está instalado. Este programa, que se ejecuta automáticamente todos los días o después de arrancar, genera una base de datos (locatedb) en la que se almacena el sitio de cada archivo en el equipo. Si selecciona Nadie, los usuarios pueden encontrar sólo las vías en la base de datos que otro usuario (sin privilegios) puede ver. Si se selecciona sólo el usuario Root, se indexarán todos los archivos locales porque el usuario Root, como súperusuario, puede acceder a todos los subdirectorios. Asegúrese de que las opciones Directorio actual en la ruta de root e Incluir el directorio actual en la ruta de usuarios normales están desactivadas. Sólo los usuarios avanzados deberían utilizar estas opciones, ya que estos ajustes pueden crear un riesgo de seguridad importante si no se usan correctamente. Para conservar un cierto control sobre el sistema aunque se bloquee, haga clic en Activar teclas Magic SysRq.

Haga clic en Finalizar para completar la configuración de seguridad.

2.8.4. Cortafuegos

SuSEfirewall2 puede proteger el equipo contra ataques de Internet. Para configurar la aplicación, utilice la opción Cortafuegos. Encontrará información detallada sobre SuSEfirewall2 en la Sección 4.1, “Enmascaramiento y cortafuegos” (↑Referencia).

[Tip]activación automática del cortafuegos

YaST inicia automáticamente un cortafuegos con ajustes adecuados en cada interfaz de red configurada. Inicie este módulo sólo si desea volver a configurar el cortafuegos con ajustes personalizados o desactivarlo.