2.8. Segurança e usuários

Um aspecto básico do Linux é a sua capacidade multiusuário. Conseqüentemente, vários usuários podem trabalhar independentemente no mesmo sistema Linux. Cada usuário tem uma conta de usuário identificada por um nome de login e uma senha pessoal para efetuar login no sistema. Todos os usuários têm seu próprio diretório pessoal onde os arquivos e configurações pessoais são armazenados.

2.8.1. Gerenciamento de Usuário

Crie e edite usuários com o Gerenciamento de Usuário. Ele fornece uma visão geral de usuários no sistema, incluindo usuários NIS e LDAP se solicitado. Se você fizer parte de uma rede grande, clique em Configurar Filtro para listar todos os usuários categoricamente (por exemplo, root ou usuários NIS). Também é possível personalizar configurações de filtro clicando em Customizar Filtro.

Para adicionar novos usuários, clique em Adicionar e digite os dados apropriados. Complete a adição clicando em Aceitar. O novo usuário pode imediatamente efetuar login usando a senha e o nome de login recém-criado.

Desabilite o login do usuário com a opção correspondente. Ajuste os perfis de usuários em Detalhes. Aqui, defina manualmente o ID de usuário, o diretório pessoal, o shell de login padrão e atribua o novo usuário a grupos específicos. Configure a validade da senha na opção Configurações de Senha. Clique em Aceitar para gravar todas as modificações.

Para apagar um usuário, selecione-o na lista e clique em Apagar. Em seguida marque se deve apagar o diretório pessoal e clique em Sim para confirmar.

Para a administração de usuário avançado, use a opção Opções de Especialista para definir as configurações padrão para a criação de novos usuários. Selecione o método de autenticação do usuário (NIS, LDAP, Kerberos ou Samba), configurações de login (somente com KDM ou GDM) e o algoritmo para criptografia de senha. As opções Padrão para Novos Usuários e Criptografia de Senha aplicam-se somente aos usuários locais. A opção Autenticação e Fontes de Usuário oferece uma visão geral de configuração e a opção de configurar o cliente. A configuração avançada de cliente também é possível usando este módulo. Após aceitar a configuração, retorne à visão geral de configuração inicial. Clique em Gravar Mudanças Agora para gravar todas as mudanças sem sair do módulo de configuração.

2.8.2. Gerenciamento de Grupo

Para criar e editar grupos, selecione Gerenciamento de Grupo ou clique em Grupos no módulo de administração do usuário. Ambas as caixas de diálogo têm a mesma funcionalidade, permitindo que você crie, edite ou apague grupos.

O módulo fornece uma visão geral de todos os grupos. Como acontece com a caixa de diálogo de gerenciamento de usuário, mude as configurações de filtro clicando em Configurar Filtro.

Para adicionar um grupo, clique em Adicionar e preencha com os dados apropriados. Selecione membros do grupo da lista marcando a caixa correspondente. Clique em Aceitar para criar o grupo. Para editar um grupo, selecione o grupo a ser editado da lista e clique em Editar. Faça todas as mudanças necessárias e grave-as com Aceitar. Para apagar um grupo, basta selecioná-lo na lista e clicar em Apagar.

Clique em Opções de Especialista para gerenciamento avançado de grupo. Encontre mais informações sobre estas opções na Seção 2.8.1, “Gerenciamento de Usuário”.

2.8.3. Segurança local

Para aplicar um conjunto de configurações de segurança em todo o sistema, use Segurança Local. Essas configurações incluem segurança para inicialização, login, senhas, criação de usuário e permissões de arquivo. O SUSE Linux oferece três conjuntos de segurança pré-configurados: Estação de Trabalho Doméstica, Estação de Trabalho em Rede e Servidor em Rede. Modifique os padrões com Detalhes. Para criar seu próprio esquema, use Configurações Personalizadas.

As configurações detalhadas ou personalizadas incluem:

Configurações de senha

Para que as senhas novas sejam verificadas pelo sistema por segurança antes de serem aceitas, clique em Verificar Novas Senhas e Testar Senhas Complicadas. Defina o tamanho mínimo das senhas para os usuários recém-criados. Defina o período durante o qual a senha deve ser válida e quantos dias antes um alerta de vencimento deverá ser emitido quando o usuário efetuar login no console de texto.

Configurações de inicialização

Defina como a combinação de teclas Ctrl-Alt-Del deve ser interpretada selecionando a ação desejada. Normalmente, esta combinação, quando informada no console de texto, faz com que o sistema seja reinicializado. Não modifique esta configuração a não ser que a sua máquina ou servidor tenha acesso público e você tenha medo de que alguém possa fazer isso sem autorização. Se você selecionar Parar, essa combinação de tecla fará com que a combinação desligue o sistema. Com a opção Ignorar, essa combinação de tecla é ignorada.

Se você usar o gerenciador de login do KDE (KDM), defina as permissões para finalizar o sistema em Comportamento de Finalização do KDM. Dê permissão para Somente root (o administrador do sistema), Todos os Usuários, Ninguém ou Usuários Locais. Se a opção Ninguém for selecionada, o sistema poderá ser finalizado somente pelo console de texto.

Configurações de Login

Normalmente, após uma tentativa de login sem sucesso, há um período de espera de alguns segundos antes que seja possível efetuar outro login. Isso dificulta ainda mais o login de farejadores de senha. Opcionalmente, ative a opção Registrar Tentativas de Login com Sucesso e Permitir Login Remoto Gráfico. Se você suspeitar que alguém está tentando descobrir sua senha, verifique as entradas nos arquivos de registro do sistema em /var/log. Para conceder aos outros usuários acesso à sua tela de login gráfico na rede, habilite Permitir Login Remoto Gráfico. Como essa possibilidade de acesso representa um risco de segurança em potencial, ela fica inativa por padrão.

Adição de Usuário

Cada usuário tem um ID de usuário numérico e um alfabético. A correlação entre esses é estabelecida pelo arquivo /etc/passwd e deve ser o mais exclusiva possível. Utilizando os dados nesta tela, defina a faixa de números designados à parte numérica do ID de usuário quando um novo usuário for adicionado. Um mínimo de 500 é adequado para usuários. Usuários gerados automaticamente pelo sistema começam com 1000. Prossiga da mesma maneira com configurações de ID de grupo.

Configurações Diversas

Para usar configurações de permissão de arquivos predefinidas, selecione Fácil, Seguro ou Paranóico. Fácil deve ser suficiente para a maioria dos usuários. A configuração Paranóico é extremamente restritiva e pode servir como o nível básico de operação para as configurações personalizadas. Se você selecionar Paranóico, lembre-se que alguns programas podem não funcionar corretamente ou até não funcionar porque os usuários não têm mais permissão para acessar determinados arquivos.

Também defina qual usuário deve iniciar o programa updatedb, se instalado. Este programa, que é executado diariamente ou após uma reinicialização, gera um banco de dados (locatedb) no qual cada arquivo de seu computador é armazenado. Se você selecionar Ninguém, qualquer usuário poderá encontrar somente os caminhos no banco de dados que podem ser vistos por qualquer outro usuário (sem privilégio). Se root for selecionado, todos os arquivos locais serão indexados porque o usuário root, como superusuário, pode acessar todos os diretórios. Verifique se as opções Diretório Atual no Caminho do Root e Diretório Corrente no Caminho do Root estão desativadas. Somente usuários avançados devem considerar o uso destas opções porque essas configurações podem apresentar um risco de segurança significativo se forem usadas incorretamente. Para ter algum controle sobre o sistema mesmo se ele falhar, clique em Habilitar Teclas Magic SysRq.

Clique em Concluir para completar a configuração de segurança.

2.8.4. Firewall

O SuSEfirewall2 pode proteger sua máquina contra ataques da Internet. Configure-o com Firewall. Encontre informações detalhadas sobre o SuSEfirewall2 na Seção 4.1, “Mascaramento e firewalls” (↑Referência).

[Tip]Ativação automática do firewall

O YaST inicia automaticamente um firewall com configurações adequadas em cada interface de rede configurada. Inicie este módulo somente se quiser reconfigurar o firewall com configurações personalizadas ou desativá-lo.