2.8. 安全性和用户

多用户功能是 Linux 的一个基本特点。因此,多个用户可以相互独立地在同一个 Linux 系统上工作。每个用户都有一个由登录名标识的用户帐户和一个用于登录系统的个人口令。所有用户都有自己的主目录,其中储存着他们的个人文件和配置。

2.8.1. 用户管理

使用用户管理创建和编辑用户。它提供系统中用户的概述,包括 NIS 和 LDAP 用户(请求时)。如果您是大型网络的一部分,请单击设置过滤器来按类别列出所有用户(例如 root 或 NIS 用户)。您还可以通过单击自定义过滤器来自定义过滤器设置。

要添加新用户,单击添加并输入相应的数据。单击接受完成添加。新用户随后就可以使用新创建的登录名和口令登录。

通过对应的选项禁用用户登录。在细节中对用户配置文件进行微调。在此处,您可以手动设置用户 ID、主目录、默认登录 shell 和将新用户指派到特定组。在口令设置中配置口令的有效性。单击接受保存所有更改。

要删除某用户,请从列表中将其选中,然后单击删除。然后标记是否删除主目录并单击确认。

对于高级用户管理,可使用专家选项来定义用于创建新用户的默认设置。选择用户鉴定方法(如 NIS、LDAP、Kerberos 或 Samba),登录设置(仅对于 KDM 或 GDM)和口令加密算法。新用户的默认值口令加密仅适用于本地用户。鉴定和用户源提供配置概述和配置客户程序的选项。使用此模块还能够进行高级客户程序配置。在接受配置之后会返回到初始配置概述。如果想要在不退出配置模块的情况下保存所有更改,请单击立即写入更改

2.8.2. 组管理

要创建和编辑组,请选择组管理,或单击用户管理模块中的。这两个对话框的功能相同,用于创建、编辑或删除组。

此模块提供所有组的概述。与用户管理对话框相同,可以通过单击设置过滤器来更改过滤器设置。

要添加组,单击添加并输入相应的数据。通过选择对应的框在列表中选择组成员。单击接受以创建组。要编辑组,从列表中选择要编辑的组并单击编辑。完成必要的修改后单击接受进行保存。要删除组,请从列表中将其选中,然后单击删除

单击专家选项以进行高级组管理。有关这些选项的详细信息请参见第 2.8.1 节 “用户管理”

2.8.3. 本地安全

要将一组安全设置应用于整个系统,请使用本地安全。这些设置包括引导、登录、口令、用户创建和文件权限的安全。SUSE Linux 提供三个预先配置的安全组合:家庭工作站联网工作站联网服务器。使用细节修改默认设置。要创建您自己的方案,请使用自定义设置

详细的或自定义的设置包括:

口令设置

为了使系统在接受新口令之前对其进行安全性检查,请单击检查新口令复杂口令测试。设置新创建用户的口令的最小长度。定义口令的有效期间以及提前多少天在用户登录文本控制台时发出口令过期警报。

引导设置

通过选择所需的操作来设置如何解释组合键 Ctrl-Alt-Del。通常情况下,在文本控制台中输入这个组合键时会导致系统重引导。除非您的计算机或服务器是公共访问的,而您又担心有人会在没有授权的情况下执行此操作,否则不要修改此设置。如果选择停止,这个组合键将关闭系统。如果选择忽略,将忽略此组合键。

如果您使用 KDE 登录管理器 (KDM),请在 KDM 的关闭行为中设置关闭系统所需的权限。可为仅 root 用户(系统管理员)、所有用户无人本地用户提供许可权。如果选择无人,就只能通过文本控制台关闭系统。

登录设置

通常情况下,在登录尝试失败后,需要等数秒之后才能尝试重新登录。这样就使口令嗅探者难以登录。还可以选择激活记录成功登录尝试允许远程图形登录。如果您怀疑某人试图盗取您的口令,可检查 /var/log 中系统日志文件中的项。启用允许远程图形登录,可允许其它用户通过网络访问您的图形登录屏幕。由于这一访问功能具有潜在的安全风险,所以在默认情况下它处于非活动状态。

用户添加

每个用户都有一个数字用户 ID 和一个字母用户 ID。二者之间的相互关系是使用文件 /etc/passwd 建立起来的,而且应尽可能地保持唯一性。使用此屏幕中的数据,可定义在添加新用户时指派给用户 ID 的数字部分的数字范围。对于用户来说,这一数字最小应为 500。自动生成的系统用户以 1000 开头。以与组 ID 设置相同的方法来继续设置。

其他设置

要使用预定义的文件权限设置,请选择简单安全高度警惕。对大多数用户而言使用容易就足够了。高度警惕设置的限制极为严格,并可以作为自定义设置的基本操作级别。如果选择高度警惕,应注意某些程序可能不能正确工作或甚至不能工作,原因是用户不再具有访问某些文件的权限。

还设置了哪个用户应启动 updatedb 程序(如果安装了此程序)。该程序每天定期自动运行或在引导后自动运行,并生成一个数据库 (locatedb),其中储存着每个文件在您的计算机上的位置。如果选择无人,则任何用户都只能在数据库中找到任何其他(未授权)用户均可看到的路径。如果选择 root,则将索引所有本地文件,原因是 root 是超级用户,可以访问所有目录。请确保取消激活了选项根路径中的当前目录一般用户的路径中的当前目录。只有高级用户才应考虑使用这些选项,因为若使用错误,这些设置可能会产生严重的安全性风险。单击启用 Magic SysRq Keys,则即使在系统崩溃的情况下您也能对系统进行某些控制。

完成以完成安全性配置。

2.8.4. 防火墙

SuSEfirewall2 可以保护您的计算机免受来自因特网的攻击。使用防火墙进行配置。有关 SuSEfirewall2 的详细信息,请参见第 4.1 节 “伪装和防火墙” (↑参考)

[Tip]自动激活防火墙

YaST 会在每个已配置的网络接口上自动启动具有适当设置的防火墙。只有您希望使用自定义设置重配置防火墙或取消它时,才启动此模块。