3.6. Sicherheit und Benutzer

SUSE Linux-Dokumentation Kapitel 3. Systemkonfiguration mit YaST / 3.6. Sicherheit und Benutzer
	3.5. Netzwerkdienste		3.7. System

Ein grundlegender Aspekt von Linux ist seine Mehrbenutzerfähigkeit. Somit können verschiedene Benutzer unabhängig voneinander auf demselben Linux-System arbeiten. Jeder Benutzer verfügt über ein Benutzerkonto, das durch einen Anmeldenamen und ein persönliches Passwort für die Anmeldung beim System gekennzeichnet ist. Alle Benutzer verfügen über eigene Home-Verzeichnisse, in denen persönliche Dateien und Konfigurationen gespeichert sind.

3.6.1. Benutzerverwaltung

Nachdem Sie die Benutzerverwaltung ausgewählt haben, wird das YaST-Modul zur Benutzerverwaltung geöffnet, das Ihnen einen Überblick über alle lokalen Benutzer im System bietet. Wenn Ihr Computer Teil eines umfangreichen Netzwerks ist, klicken Sie auf ‘Filter festlegen’, um alle Benutzer nach Kategorien aufzulisten (beispielsweise root- oder NIS-Benutzer). Außerdem können Sie die Filtereinstellungen durch Klicken auf ‘Benutzerdefinierte Filtereinstellung’ anpassen.

Anstatt zwischen einzelnen Benutzergruppen umzuschalten, können Sie sie nach Bedarf kombinieren. Um neue Benutzer hinzuzufügen, klicken Sie auf ‘Hinzufügen’ und geben Sie die entsprechenden Daten ein. Wenn Sie auf ‘Übernehmen’ klicken, wird der Vorgang abgeschlossen, und der neue Benutzer kann sich sofort mit dem neu erstellten Benutzernamen und Passwort anmelden.

Die Benutzeranmeldung kann durch Aktivieren des entsprechenden Kontrollkästchens deaktiviert werden. Eine Feineinstellung der Benutzerprofile ist durch Klicken auf den Karteireiter ‘Details’ möglich. Hier können Sie Benutzer-ID, Home-Verzeichnis und Standard-Anmelde-Shell manuell festlegen und dem neuen Benutzer bestimmten Gruppen zuweisen. Konfigurieren Sie die Gültigkeit des Kennworts unter ‘Passworteinstellungen’. Durch Klicken auf ‘Übernehmen’ werden alle Änderungen gespeichert.

Um einen Benutzer zu löschen, wählen Sie ihn in der Liste aus und klicken Sie auf ‘Löschen’. Aktivieren Sie das Kontrollkästchen und klicken Sie auf ‘Ja’, um den Löschvorgang wirksam werden zu lassen.

Wenn Sie eine erweiterte Benutzerverwaltung wünschen, können Sie unter ‘Optionen für Experten’ die Standardeinstellungen zum Erstellen neuer Benutzer festlegen. Wählen Sie die Methode für die Benutzerauthentifizierung (NIS, LDAP, Kerberos oder Samba - alle konfigurierbar), die Anmeldeeinstellungen (nur bei KDM oder GDM) sowie den Algorithmus für die Passwortverschlüsselung aus. ‘Standardeinstellungen für neue Benutzer’ und ‘Passwortverschlüsselung’ gelten nur für lokale Benutzer. Unter ‘Authentifikation und Benutzerquellen’ erhält der Administrator einen Konfigurationsüberblick und die Möglichkeit, den Client zu konfigurieren. Eine erweiterte Client-Konfiguration ist mit diesem Modul ebenfalls möglich (weitere Informationen zur Konfiguration des Client finden Sie im entsprechenden Abschnitt). Nach Annahme der Konfiguration wird der Administrator zum ursprünglichen Konfigurationsüberblick zurückgeleitet. Durch Klicken auf ‘Änderungen nun schreiben’ werden alle Änderungen gespeichert, ohne dass das Konfigurationsmodul beendet wird.

Abbildung 3.6. Benutzerverwaltung

3.6.2. Gruppenverwaltung

Starten Sie das Gruppenverwaltungsmodul über das YaST-Kontrollzentrum oder klicken Sie im Modul zur Benutzerverwaltung auf ‘Gruppen’. Beide Dialoge bieten dieselben Funktionen: Sie können Gruppen erstellen, bearbeiten und löschen.

YaST bietet einen Überblick über alle Gruppen. Um eine Gruppe hinzuzufügen, klicken Sie auf ‘Hinzufügen’ und geben Sie die entsprechenden Daten ein. Die Gruppenmitglieder können durch aktivieren des entsprechenden Kontrollfelds aus der angezeigten Liste ausgewählt werden. Durch Klicken auf ‘Übernehmen’ wird die Gruppe erstellt. Um eine Gruppe zu bearbeiten, wählen Sie die gewünschte Gruppe aus der Liste aus und klicken Sie auf ‘Bearbeiten’. Nehmen Sie alle erforderlichen Änderungen vor und klicken Sie auf ‘Übernehmen’, um sie zu speichern. Um eine Gruppe zu löschen, wählen Sie sie einfach in der Liste aus und klicken Sie auf ‘Löschen’. Wie beim Dialogfeld für die Benutzerverwaltung kann der Administrator die Filtereinstellungen durch Klicken auf ‘Filter festlegen’ ändern. Weitere Informationen hierzu finden Sie im vorherigen Abschnitt. Unter ‘Optionen für Experten’ ist eine erweiterte Gruppenverwaltung möglich. Weitere Informationen hierzu finden Sie in Abschnitt 3.6.1, „Benutzerverwaltung“.

3.6.3. Sicherheitseinstellungen

Wählen Sie unter ‘Lokale Sicherheitskonfiguration’ (kann unter ‘Sicherheit und Benutzer’ aufgerufen werden) eine der folgenden Optionen aus: ‘Heim-Arbeitsstation’ für eigenständige Computer, ‘Vernetzte Arbeitsstation’ für Arbeitsstationen mit Netzwerk oder ‘Netzwerkserver’ für einen Server mit Netzwerk. Verwenden Sie ‘Benutzerdefinierte Einstellungen’ für Ihre eigene Konfiguration.

Wenn Sie auf eines der ersten drei Elemente klicken, wird beim Klicken auf ‘Beenden’ eine der Stufen der vorkonfigurierten Sicherheitsoptionen aktiviert. Beim Klicken auf ‘Details’ oder durch Auswahl von ‘Benutzerdefinierte Einstellungen’ werden einzelne Einstellungen angezeigt, die bearbeitet werden können. Mit ‘Weiter’ können Sie zu den nachfolgenden Schritten weitergehen.

‘Passworteinstellungen’

Um neue Passwörter vor der Annahme vom System überprüfen zu lassen, klicken Sie auf ‘Neue Passwörter überprüfen’ und ‘Test auf komplizierte Passwörter’. Legen Sie die Passwort-Mindestlänge für neu erstellte Benutzer fest. Definieren Sie den Zeitraum, für den die Passwörter gelten sollen, und wie viele Tage im Voraus eine Ablaufwarnung ausgegeben werden soll, wenn sich der Benutzer bei der Textkonsole anmeldet.

‘Einstellungen für den Systemstart’

Geben Sie durch Auswahl der gewünschten Aktion an, wie die Tastenkombination Strg-Alt-Entf interpretiert werden soll. Normalerweise führt diese Kombination in der Textkonsole dazu, dass das System neu gebootet wird. Sie können jedoch angeben, welcher Vorgang ausgeführt werden soll, wenn diese Tastenkombination gedrückt wird. Bearbeiten Sie diese Einstellung nur, wenn Ihr Computer oder Server öffentlich zugänglich ist und Sie befürchten, dass jemand diesen Vorgang ohne Berechtigung ausführen könnte. Bei Auswahl von ‘Anhalten’ führt diese Tastenkombination zum Herunterfahren des Systems. Mit ‘Ignorieren’ wird die Tastenkombination ignoriert.

Geben Sie die ‘Einstellung für das Herunterfahren unter KDM’ an, indem Sie die Berechtigung erteilen, das System über den KDE-Anzeigemanager, der grafischen Anmeldefunktion von KDE, herunterzufahren. Sie können folgenden Personengruppen die Berechtigung erteilen: ‘Nur root’ (Systemadministrator), ‘Alle Benutzer’, ‘Niemand’ oder ‘Lokale Benutzer’. Bei Auswahl von ‘Niemand’ kann das System nur über die Textkonsole heruntergefahren werden.

‘Einstellungen für das Anmelden’

Üblicherweise ist nach einem gescheiterten Anmeldeversuch eine Wartezeit von mehreren Sekunden erforderlich, bevor eine weitere Anmeldung möglich ist. Dies erschwert Passwortschnüfflern die Anmeldung. Optional können Sie ‘Aufzeichnung erfolgreicher Anmeldeversuche’ und ‘Grafische Anmeldung von Remote erlauben’ aktivieren. Wenn Sie den Verdacht haben, dass jemand versucht, Ihr Passwort zu ermitteln, überprüfen Sie die Einträge in den Systemprotokolldateien in /var/log. Mit ‘Grafische Anmeldung von Remote erlauben’ gewähren Sie anderen Benutzern Zugriff auf Ihren grafischen Anmeldebildschirm über das Netzwerk. Da diese Zugriffsmöglichkeit ein potenzielles Sicherheitsrisiko darstellt, ist sie standardmäßig nicht aktiviert.

‘Hinzufügen von Benutzern’

Jeder Benutzer besitzt eine numerische und eine alphabetische Benutzer-ID. Die Korrelation zwischen diesen beiden IDs erfolgt über die Datei /etc/passwd und sollte so eindeutig wie möglich sein. Mit den Daten in diesem Bildschirm legen Sie den Zahlenbereich fest, der beim Hinzufügen eines neuen Benutzers dem numerischen Teil der Benutzer-ID zugewiesen wird. Ein Mindestwert von 500 ist für die Benutzer geeignet. Automatisch generierte Systembenutzer beginnen bei 1000. Verfahren Sie ebenso mit den Gruppen-ID-Einstellungen.

‘Verschiedene Einstellungen’

Bei ‘Einstellung für Dateirechte’ stehen drei Optionen zur Auswahl: ‘Easy (Einfach)’, ‘Sicher’ und ‘Paranoid’. Im YaST-Hilfetext finden Sie detaillierte Informationen zu den drei Sicherheitsstufen. ‘Easy (Einfach)’ sollte für die meisten Benutzer ausreichen. Die Einstellung ‘Paranoid’ ist sehr restriktiv und kann als grundlegende Betriebsstufe für Systemadministratoreinstellungen dienen. Bei Auswahl von ‘Paranoid’ sollten Sie bedenken, dass einige Programme eventuell nicht mehr oder nicht mehr ordnungsgemäß arbeiten, da die Benutzer keinen Zugriff mehr auf bestimmte Dateien haben.

In diesem Dialogfeld können Sie außerdem festlegen, welcher Benutzer das Programm updatedb starten soll. Dieses Programm, das automatisch jeden Tag oder nach dem Booten ausgeführt wird, erstellt eine Datenbank (locatedb), in der der Speicherort jeder Datei auf dem Computer gespeichert wird. Bei Auswahl von ‘Niemand’ können alle Benutzer nur die Pfade in der Datenbank finden, die von jedem anderen Benutzer ohne besondere Berechtigungen gesehen werden können. Bei Auswahl von root werden alle lokalen Dateien indiziert, da der Benutzer root als Superuser auf alle Verzeichnisse zugreifen kann. Vergewissern Sie sich, dass die Optionen ‘Aktuelles Verzeichnis im Pfad des Benutzers root’ und ‘Das aktuelle Verzeichnis im Pfad regulärer Benutzer’ deaktiviert sind. Nur fortgeschrittene Benutzer sollten in Erwägung ziehen, diese Kontrollkästchen zu aktivieren, da diese Einstellungen ein erhebliches Sicherheitsrisiko darstellen können, wenn sie falsch eingesetzt werden. Mit ‘Magic SysRq Keys aktivieren’ haben Sie schließlich selbst bei einem Systemabsturz noch einen gewissen Grad an Kontrolle über das System.

Klicken Sie zum Abschließen der Sicherheitskonfiguration auf ‘Beenden’.

3.6.4. Firewall

Mit diesem Modul können Sie SUSEfirewall2 so konfiguriren, dass Ihr Computer gegen Angriffe aus dem Internet geschützt ist. Detaillierte Informationen zu SUSEfirewall2 finden Sie in Abschnitt 23.1, „Masquerading und Firewalls“ (↑Referenz).

	Automatische Aktivierung der Firewall
YaST startet automatisch eine Firewall mit geeigneten Einstellungen auf jeder konfigurierten Netzwerkschnittstelle. Starten Sie dieses Modul nur, wenn Sie die Firewall deaktivieren oder mit benutzerdefinierten Einstellungen neu konfigurieren möchten.