2.8. 安全性與使用者

多重使用者是 Linux 的基本功能。 因此,多位使用者可以在相同的 Linux 系統上獨立進行工作。 登入名稱與個人密碼可用來識別每位使用者的使用者帳戶,以供登入系統使用。 所有使用者都會擁有自己的主目錄,用以儲存個人檔案與組態。

2.8.1. 使用者管理

使用使用者管理來建立和編輯使用者。 它提供系統中所有使用者的概觀,包括 NIS 和 LDAP 使用者 (如有需要)。 如果是大型網路的一部份,請按一下設定過濾器,列出所有使用者類別 (例如,root 或 NIS 使用者)。 您也可按一下自訂過濾器來自訂過濾器設定。

若要新增新使用者,請按一下新增,並輸入適當的資料。 按一下接受完成新增動作。 新使用者可使用新建立的登入名稱和密碼立即登入。

使用對應選項來停用使用者登入。 微調詳細資料中的使用者設定檔。 您可在此手動設定使用者 ID、主目錄、預設登入外圍程序,並將新使用者指派至特定群組。 在密碼設定中設定密碼的有效性。 請按一下接受來儲存變更。

若要刪除使用者,請選擇清單上的使用者,然後按一下刪除。 然後標示是否要刪除主目錄,並按一下進行確認。

如需進階的使用者管理,請使用進階選項來定義建立新使用者的預設設定。 選擇使用者驗證方法 (例如 NIS、LDAP、Kerberos 或 Samba)、登入設定 (只能設定 KDM 或 GDM),和密碼加密的演算法。 新使用者預設密碼加密只會套用至本機使用者。 驗證與使用者來源會提供組態概觀與設定用戶端的選項。 您也可使用此模組來進行進階用戶端設定。 接受組態之後,請回到初始組態概觀。 按一下立即寫入變更,在不離開設定模組的情況下儲存所有變更。

2.8.2. 群組管理

若要建立和編輯群組,請選取群組管理,或在使用者管理模組中按一下群組。 這兩個對話方塊擁有相同的功能,都可讓您建立、編輯或刪除群組。

模組可提供所有群組的概觀。 就像使用者管理對話方塊,只要按一下設定過濾器就可以變更過濾器設定。

若要新增群組,請按一下新增,並輸入適當的資料。 您可選取對應方塊,從清單中選取群組成員。 按一下接受建立群組。 若要編輯群組,請從清單中選擇要編輯的群組,並按一下編輯。 進行所有必要的變更,並使用接受儲存變更。 若要刪除群組,只需從清單中選擇,然後按一下刪除

按一下進階選項,進行進階的群組管理。 如需這些選項的詳細資訊,請參閱節 2.8.1, "使用者管理"

2.8.3. 本地安全性

若要在整個系統中套用一組安全性設定,請使用本地安全性。 這些設定包含開機、登入、密碼、使用者建立和檔案許可權的安全性。 SUSE Linux 提供了預先設定的安全性設定集: 主工作站網路工作站網路伺服器。 使用詳細資料來修改預設值。 若要建立您自己的配置,請使用自訂設定

詳細或自訂設定包含如下:

密碼設定

若要在接受新的密碼之前讓系統檢查密碼安全性,請按一下檢查新密碼測試複雜密碼。 設定新建使用者的密碼長度下限。 定義密碼的有效期間、以及應該在到期前幾天內,於該使用者登入文字主控台時就發出警示。

開機設定

設定選擇所需動作時要如何解釋按鍵組合 Ctrl-Alt-Del。 通常在文字主控台中輸入此組合,就會讓系統重新開機。 除非您的電腦或伺服器可供公用存取,而且您擔心會有人未經過授權就執行此動作,否則請不要修改此設定。 如果選擇停止,此按鍵組合就會使系統關機。 使用忽略,則會忽略此按鍵組合。

如果您使用 KDE 登入管理員 (KDM),請在 KDM 的關機行為設定關閉系統的權限。 可將許可權授與只有 root (系統管理員)、所有使用者無人本地使用者。 如果選擇無人,系統就只能透過文字主控台來關閉。

登入設定

一般情況下,登入失敗之後會先等待數秒,然後才能進行另一次登入。 如此可讓密碼監聽程式 (Sniffer) 不容易登入。可選擇性啟用記錄成功登入次數允許遠端圖形登入。 如果您懷疑有人試圖要找出您的密碼時,請在 /var/log 中檢查系統記錄檔中的項目。 啟用允許遠端圖形登入,允許其他使用者透過網路存取圖形登入畫面。 因為此存取方式有潛在的安全性風險,因此預設會關閉該功能。

使用者其他

每位使用者都擁有數值與字母混合的使用者 ID。這些資料之間的關聯是使用 /etc/passwd 檔案建立,而且應該是唯一專屬資訊。 使用此畫面中的資料,可在新增使用者時,針對要指定給使用者 ID 的數值部分來定義數字範圍。 使用者適用的下限為 500。 自動產生的系統使用者會從 1000 開始。請以群組 ID 設定的相同步驟繼續。

其他設定

若要使用預先定義的檔案權限設定,請選取簡易保全Paranoid簡易選項對於大部分使用者而言應已足夠。 Paranoid 設定相當嚴格,而且可作為自訂設定的作業基礎。 請記得,如果選取 Paranoid,有些程式可能就無法運作或無法正確運作,因為使用者可能已經不具備存取特定檔案的權限。

您也可以定義哪些使用者可以在安裝後啟動 updatedb 程式。 此程式每天都會自動執行,或是在開機後執行,您電腦上每個檔案的儲存位置都會包含在所產生的資料庫 (locatedb) 內。 如果選擇無人,則使用者都只能夠在資料庫中,找到其他 (未經授權) 使用者都能看到的路徑。 如果選擇 root,則會製作所有本地檔案的索引,因為 root 使用者是超級使用者,可以存取所有目錄。 確認已停用根路徑中目前的目錄一般使用者路徑中目前的目錄。 只有進階使用者才應考慮使用這些選項,因為若使用錯誤的話,這些設定可能導致明顯的安全性風險。 即使系統損毀後仍想擁有系統的部分控制權時,請按一下開啟魔術 SysRq 鑰匙

按一下完成,完成安全性組態。

2.8.4. 防火牆

SUSEfirewall2 可保護您的電腦不會受到來自網際網路的攻擊。 使用防火牆進行設定。 關於 SuSEfirewall2 的詳細資訊,請參閱節 4.1, "偽裝與防火牆" (↑參考)

[Tip]自動啟動防火牆

YaST 會根據每個已設定的網路介面,以合適的設定自動啟動防火牆。 如果想要以自訂設定重新設定防火牆,或是關閉防火牆功能,請僅啟動此模組。