2.8. Sécurité et utilisateurs

Le caractère multi-utilisateur de Linux constitue un de ses aspects fondamentaux. Par conséquent, plusieurs utilisateurs peuvent travailler de façon indépendante sur un même système Linux. Chaque utilisateur possède un compte identifié par un nom de login et un mot de passe pour la connexion au système. Tous les utilisateurs disposent de leurs propres répertoires maison, où sont stockés leurs fichiers et configurations personnels.

2.8.1. Gestion des utilisateurs

Créez et modifiez des utilisateurs avec Gestion des utilisateurs. Vous obtenez un aperçu des utilisateurs du système, y compris des utilisateurs NIS et LDAP si vous l'avez demandé. Si vous êtes membre d'un réseau très étendu, cliquez sur Définir le filtre pour répertorier les utilisateurs par catégories (par exemple les utilisateurs root ou NIS). Vous pouvez également personnaliser les paramètres de filtrage en cliquant sur Personnaliser le filtre.

Pour ajouter de nouveaux utilisateurs, cliquez sur Ajouter et saisissez les données appropriées. Terminez l'ajout en cliquant sur Accepter. Le nouvel utilisateur peut alors immédiatement se connecter avec le nom de login et le mot de passe nouvellement créés.

Désactivez le login de l'utilisateur avec l'option correspondante. Les profils utilisateur peuvent également faire l'objet d'un réglage avancé dans Détails. Ici, définissez manuellement l'ID utilisateur, le répertoire maison, le shell de login par défaut et affectez le nouvel utilisateur à des groupes spécifiques. Configurez la validité du mot de passe dans Paramètres du mot de passe. Cliquez sur Accepter pour enregistrer toutes les modifications.

Pour supprimer un utilisateur, sélectionnez-le dans la liste puis cliquez sur Supprimer. Marquez ensuite si le répertoire personnel doit être supprimé et cliquez sur Oui pour confirmer.

Pour l'administration avancée des utilisateurs, utilisez Options expert pour définir les paramètres par défaut de création de nouveaux utilisateurs. Sélectionnez la méthode d'authentification utilisateur (par exemple NIS, LDAP, Kerberos ou Samba), les paramètres de login (uniquement avec KDM ou GDM) et l'algorithme de codage du mot de passe. Nouveaux paramètres utilisateur par défaut et codage du mot de passe s'appliquent uniquement aux utilisateurs locaux. Sources utilisateur et authentification fournit une vue d'ensemble de la configuration et la possibilité de configurer le client. La configuration client avancée est également possible à l'aide de ce module. Après avoir accepté la configuration, revenez à la vue d'ensemble de la configuration. Cliquez sur Écrire les modifications maintenant pour enregistrer toutes les modifications sans quitter le module de configuration.

2.8.2. Gestion des groupes

Pour créer et modifier des groupes, sélectionnez Gestion des groupes ou cliquez sur Groupes dans le module de gestion des utilisateurs. Les deux boîtes de dialogue possèdent des fonctionnalités identiques, permettant de créer, modifier ou supprimer des groupes.

Ce module fournit un aperçu de tous les groupes. Comme dans la boîte de dialogue de gestion des utilisateurs, modifiez les paramètres des filtres en cliquant sur Définir le filtre.

Pour ajouter un groupe, cliquez sur Ajouter puis saisissez les données appropriées. Sélectionnez les membres des groupes dans la liste en cochant les cases correspondantes. Cliquez sur Accepter pour créer le groupe. Pour modifier un groupe, sélectionnez le groupe à modifier dans la liste puis cliquez sur Modifier. Effectuez les modifications nécessaires, puis enregistrez-les avec Accepter. Pour supprimer un groupe, sélectionnez-le simplement dans la liste puis cliquez sur Supprimer.

Cliquez sur Options expert pour accéder aux options avancées de gestion des groupes. Vous trouverez de plus amples informations sur ces options à la Section 2.8.1, « Gestion des utilisateurs ».

2.8.3. Sécurité locale

Pour appliquer un ensemble de paramètres de sécurité à l'ensemble de votre système, utilisez Sécurité locale. Ces paramètres incluent la sécurité pour l'amorçage, le login, les mots de passe, la création d'utilisateurs et les droits d'accès aux fichiers. SUSE Linux offre trois ensembles de sécurité préconfigurés : Station de travail privée, Station de travail réseau et Serveur réseau. Modifiez les paramètres par défaut avec Détails. Pour créer votre propre schéma, utilisez Paramètres personnalisés.

Les paramètres détaillés ou personnalisés comprennent les éléments suivants :

Paramètres de mot de passe

Pour que le système vérifie la sécurité des nouveaux mots de passe avant de les accepter, cliquez sur Vérifier les nouveaux mots de passe et Test de complexité des mots de passe. Définissez la longueur minimum des mots de passe pour les nouveaux utilisateurs. Indiquez une période de validité des mots de passe et le nombre de jours avant l'expiration que l'utilisateur doit être alerté lorsqu'il se connecte à la console de texte.

Paramètres d'amorçage

Indiquez comment la combinaison de touches Ctrl-Alt-Suppr doit être interprétée en sélectionnant l'action souhaitée. Normalement, l'utilisation de cette combinaison de touches dans la console de texte entraîne le redémarrage du système. Ne modifiez ce réglage que si votre machine ou serveur est publiquement accessible et que vous craignez que quelqu'un n'effectue cette opération sans y être autorisé. Si vous choisissez Arrêter, cette combinaison de touches entraîne l'arrêt du système. Ignorer permet d'ignorer cette combinaison de touches.

Si vous utilisez le gestionnaire de login de KDE (KDM), définissez les autorisations de fermeture du système dans Comportement de fermeture de KDM. Les autorisations peuvent être accordées à Seulement root (l'administrateur système), Tous les utilisateurs, Personne ou Utilisateurs locaux. Si Personne est sélectionné, le système ne peut être arrêté que par la console de texte.

Paramètres de login

En règle générale, après un échec de login, un délai d'attente de quelques secondes est imposé avant toute nouvelle tentative. Ceci complique la tâche des renifleurs de mots de passe. Vous pouvez également activer Enregistrer les tentatives de login réussies et Autoriser la connexion graphique à distance. Si vous soupçonnez quelqu'un de tenter de découvrir votre mot de passe, vérifiez les entrées des fichiers journaux du système dans /var/log. Pour accorder à d'autres utilisateurs l'accès à votre écran de login graphique via le réseau, activez Autoriser la connexion graphique à distance. Cette possibilité d'accès constituant un risque potentiel pour la sécurité, elle est désactivée par défaut.

Ajout d'utilisateur

Chaque utilisateur possède un ID d'utilisateur numérique et alphabétique. La corrélation entre les deux est établie en utilisant le fichier /etc/passwd et doit être aussi unique que possible. À l'aide des données de cet écran, définissez les plages de nombres affectées à la partie numérique de l'ID utilisateur quand un nouvel utilisateur est ajouté. Il convient d'employer au minimum 500 pour les utilisateurs. Les utilisateurs système générés automatiquement commencent à 1 000. Procédez de même pour les paramètres d'ID de groupe.

Paramètres divers

Pour utiliser des paramètres prédéfinis de droits d'accès aux fichiers, sélectionnez Simple, Sécurisé ou Paranoïa. Simple doit être suffisant pour la majorité des utilisateurs. Le paramètre Paranoïa est extrêmement restrictif et peut servir de niveau d'action de base pour les paramètres personnalisés. Si vous choisissez Paranoïa, n'oubliez pas que certains programmes risquent de ne pas fonctionner correctement, voire pas du tout, parce que les utilisateurs ne disposent plus des autorisations nécessaires pour accéder à certains fichiers.

Indiquez également quel utilisateur doit lancer le programme updatedb, s'il est installé. Ce programme, qui s'exécute automatiquement une fois par jour ou après le démarrage, génère une base de données (locatedb) répertoriant l'emplacement de chaque fichier sur votre ordinateur. Si vous choisissez Personne, tout utilisateur aura uniquement accès aux chemins de la base de données qui sont visibles par tout autre utilisateur (sans privilèges). Si vous sélectionnez root, tous les fichiers locaux sont indexés car, en tant que superutilisateur, l'utilisateur root a accès à tous les répertoires. Assurez-vous que les options Répertoire actuel dans le chemin d'accès de root et Répertoire actuel dans le chemin d'accès des utilisateurs ordinaires sont désactivées. Seuls les utilisateurs avancés doivent utiliser ces options car elles peuvent constituer un sérieux risque pour la sécurité si elles sont mal utilisées. Afin de garder le contrôle de votre système, même en cas de plantage, cliquez sur Activer Magic SysRq Keys.

Cliquez sur Terminer pour terminer la configuration de la sécurité.

2.8.4. Pare-feu

SuSEfirewall2 peut protéger votre machine contre les attaques en provenance d'Internet. Configurez-le avec Pare-feu. Vous trouverez des informations détaillées sur SuSEfirewall2 à la Section 4.1, « Masquage et pare-feux » (↑Référence).

[Tip]Activation automatique du pare-feu

YaST démarre automatiquement un pare-feu avec des paramètres adaptés sur chaque interface réseau configurée. Utilisez uniquement ce module si vous souhaitez reconfigurer le pare-feu avec des paramètres personnalisés ou si vous voulez le désactiver.