2.8. Sicurezza e utenti

Un aspetto base di Linux è la funzionalità multiutente. Di conseguenza, sullo stesso sistema Linux possono lavorare più utenti contemporaneamente. Ogni utente dispone di un account identificato da un nome di login e una password personale per l'accesso al sistema. Tutti gli utenti hanno la propria directory home in cui vengono memorizzati file e configurazioni personali.

2.8.1. Gestione utenti

Con Gestioni utenti è possibile creare e modificare utenti. Presenta una panoramica degli utenti nel sistema, tra cui anche gli utenti NIS e LDAP, se necessario. Se si appartiene a una rete ampia, fare clic su Imposta filtro per elencare tutti gli utenti per categoria (ad esempio root o utenti NIS). È, inoltre, possibile personalizzare le impostazioni di filtro facendo clic su Personalizza filtro.

Per aggiungere nuovi utenti, fare clic su Aggiungi e inserire i dati appropriati. Per terminare l'operazione di aggiunta, fare clic su Accetto. Il nuovo utente può eseguire immediatamente il login, utilizzando nome utente e password appena creati.

È possibile disabilitare il login utente con l'opzione corrispondente. In Dettagli è possibile ottimizzare i profili utente. Qui è possibile impostare manualmente ID utente, directory home, shell di login di default e assegnare il nuovo utente a gruppi specifici. Configurare la validità della parola d'ordine in Impostazioni parola d'ordine. Per salvare le modifiche, fare clic su Accetto.

Per eliminare un utente, selezionarne il nome nell'elenco e fare clic su Elimina. Successivamente, contrassegnare in caso di eliminazione della home directory e fare clic su per confermare.

Per l'amministrazione utenti avanzata, scegliere Opzioni per esperti per definire le impostazioni di default per la creazione di nuovi utenti. Selezionare il metodo di autenticazione degli utenti (come NIS, LDAP, Kerberos o Samba), le impostazioni di login (solo con KDM o GDM) e l'algoritmo per la cifratura delle parole d'ordine. Le opzioni Default per nuovi utenti e Cifratura parola d'ordine sono applicabili solo agli utenti locali. L'opzione Autenticazione e sorgenti utente fornisce una panoramica della configurazione e l'opzione per configurare il client. Con questo modulo è possibile anche eseguire la configurazione avanzata del client. Dopo aver accettato la configurazione, si ritorna alla panoramica iniziale. Facendo clic su Scrivi modifiche ora vengono salvate tutte le modifiche senza uscire dal modulo di configurazione.

2.8.2. Gestione gruppi

Per creare o modificare gruppi, scegliere Gestione gruppi oppure fare clic su Gruppi nel modulo di amministrazione utenti. Entrambe le finestre di dialogo hanno le stesse funzionalità, consentendo di creare, modificare o eliminare i gruppi.

Questo modulo visualizza una panoramica di tutti i gruppi. Come avviene nella finestra di dialogo di gestione degli utenti, è possibile modificare le impostazioni di filtro facendo clic su Imposta filtro.

Per aggiungere un gruppo, fare clic su Aggiungi e inserire i dati appropriati. Scegliere dall'elenco i membri del gruppo, selezionando la casella corrispondente. Per creare il gruppo, fare clic su Accetto. Per modificare un gruppo, selezionarne il nome nell'elenco e fare clic su Modifica. Effettuare tutte le modifiche desiderate, quindi salvarle facendo clic su Accetto. Per eliminare un gruppo, è sufficiente selezionarne il nome nell'elenco e fare clic su Elimina.

Per una gestione avanzata dei gruppi, fare clic su Opzioni per esperti. Per ulteriori informazioni su queste opzioni, vedere la Sezione 2.8.1, "Gestione utenti".

2.8.3. Sicurezza locale

Per applicare un insieme di impostazioni di sicurezza all'intero sistema, utilizzare Sicurezza locale. Queste impostazioni includono la sicurezza per avvio, login, password, creazione utenti e autorizzazioni per i file. SUSE Linux offre tre pacchetti di sicurezza preconfigurati: Workstation home, Workstation collegata in rete e Server collegato in rete. Modificare le impostazioni predefinite con Dettagli. Per creare il proprio schema, utilizzare Impostazioni personalizzate.

Le impostazioni dettagliate o personalizzate includono:

Impostazioni delle parole d'ordine

Per impostare la verifica da parte del sistema per la sicurezza di nuove parole d'ordine prima dell'accettazione, fare clic su Verifica nuove password e Verifica password complesse. Impostare la lunghezza minima delle parole d'ordine create dai nuovi utenti. Definire il periodo di validità della parola d'ordine e quanti giorni prima della scadenza deve essere visualizzato un avviso per l'utente che effettua il login nella console di testo.

Impostazioni di avvio

Impostare l'azione desiderata che deve essere compiuta quando viene premuta la combinazione di tasti Ctrl-Alt-Canc. Se premuta nella console di testo, normalmente questa combinazione causa il riavvio del sistema. Non modificare questa impostazione a meno che il computer o il server siano accessibili al pubblico e si teme che qualcuno possa effettuare questa azione senza autorizzazione. Scegliendo Interrompi, questa combinazione di tasti causa l'arresto del sistema. Scegliendo Ignora, questa combinazione di tasti viene ignorata.

Se si utilizza il gestore di login di KDE (KDM), impostare le autorizzazione per lo spegnimento del sistema in Comportamento di arresto di KDM. Definire le autorizzazioni per Solo root (l'amministratore di sistema), Tutti gli utenti, Nessuno o Utenti locali. Selezionando Nessuno, il sistema può essere arrestato solo tramite la console di testo.

Impostazioni di login

Normalmente, dopo un tentativo fallito di login, c'è un periodo di attesa di qualche secondo prima di poter eseguire un altro tentativo. In questo modo viene reso difficile l'accesso non autorizzato degli sniffer di password. È possibile, comunque, selezionare l'opzione Registra i tentativi di accesso riusciti e Permetti accesso grafico da remoto. Se l'utente sospetta che qualcuno stia tentando di scoprire la sua parola d'ordine, occorre che verifichi le voci nei file di registro del sistema presenti in /var/log. Per concedere l'accesso alla schermata grafica di login tramite la rete ad altri utenti, abilitare Permetti accesso grafico da remoto. Dal momento che questa possibilità di accesso rappresenta un potenziale rischio per la sicurezza, l'opzione è inattiva di default.

Aggiunta di utenti

Ogni utente dispone di un ID utente numerico e alfabetico. La correlazione tra questi viene stabilita tramite il file /etc/passwd ed è consigliabile che rimanga univoca per quanto possibile. Utilizzando i dati in questa schermata, definire l'intervallo di numeri assegnati alla parte numerica dell'ID utente quando viene aggiunto un nuovo utente. Un minimo di 500 è appropriato per gli utenti. Gli utenti generati automaticamente dal sistema iniziano da 1000. Procedere nello stesso modo con le impostazioni di ID del gruppo.

Impostazioni varie

Per utilizzare impostazioni predefinite per l'autorizzazione ai file, scegliere Semplice, Sicura o Paranoide. Semplice dovrebbe essere sufficiente per la maggior parte degli utenti. L'impostazione Paranoide è estremamente restrittiva e può servire da livello base di funzionamento per le impostazioni personalizzate. Se si seleziona Paranoide, ricordarsi che alcuni programmi potrebbero non funzionare correttamente o per niente, poiché gli utenti non avrebbero più l'autorizzazione di accedere a determinati file.

Impostare anche l'utente che deve avviare il programma updatedb, se installato. Questo programma, che viene eseguito in maniera automatica una volta al giorno oppure dopo ogni avvio, genera un database (locatedb) in cui viene memorizzata la posizione di ciascun file. Se si seleziona Nessuno, ogni utente può trovare nel database solo i percorsi visibili da qualsiasi altro utente (senza privilegi). Se si seleziona root, tutti i file locali vengono indicizzati, poiché l'utente root, in qualità di superutente, può accedere a tutte le directory. Accertarsi che le opzioni Directory corrente nel percorso radice e Directory corrente nel path di un utente normale siano disabilitate. È consigliabile che solo gli utenti esperti possano valutare se utilizzare queste opzioni, poiché queste impostazioni potrebbero causare un rischio significativo per la sicurezza, se usate in maniera non corretta. Per avere il controllo sul sistema anche in caso di arresto improvviso, fare clic su Attiva Magic SysRq Keys.

Per terminare la configurazione per la sicurezza, premere Fine.

2.8.4. Firewall

SuSEfirewall2 è in grado di proteggere il computer contro gli attacchi provenienti da Internet. Per configurarlo, utilizzare Firewall. Per informazioni dettagliate su SuSEfirewall2, vedere la Sezione 4.1, " Mascheramento e firewall" (↑Riferimento).

[Tip]Attivazione automatica del firewall

YaST avvia automaticamente un firewall con impostazioni appropriate su ogni interfaccia di rete configurata. Avviare questo modulo solo se si desidera riconfigurare il firewall con impostazioni personalizzate o disattivarlo.