3.6. Sécurité et utilisateurs

Documentation SUSE LINUX Chapitre 3. Configuration du système avec YaST / 3.6. Sécurité et utilisateurs
	3.5. Services réseau		3.7. Système

Le caractère multi-utilisateur de Linux constitue un de ses aspects fondamentaux. Par conséquent, plusieurs utilisateurs peuvent travailler de façon indépendante sur un même système Linux. Chaque utilisateur possède un compte identifié par un nom de login et un mot de passe pour la connexion au système. Tous les utilisateurs disposent de leurs propres répertoires maison, où sont stockés leurs fichiers et configurations personnels.

3.6.1. Gestion des utilisateurs

Lorsque vous choisissez de gérer les utilisateurs, le module d'administration des utilisateurs de YaST s'ouvre et vous propose un aperçu de tous les utilisateurs locaux du système. Si vous êtes membre d'un réseau très étendu, cliquez sur ‘Définir le filtre’ pour répertorier les utilisateurs par catégories (par exemple les utilisateurs root ou NIS). Vous pouvez également personnaliser les paramètres de filtrage en cliquant sur ‘Personnaliser le filtre’.

Au lieu de basculer entre des groupes d'utilisateurs individuels, combinez-les en fonction de vos besoins. Pour ajouter de nouveaux utilisateurs, cliquez sur ‘Ajouter’ et saisissez les données appropriées. Cliquez sur ‘Accepter’ pour terminer le procédure. Le nouvel utilisateur peut alors immédiatement se connecter avec le nom de login et le mot de passe nouvellement créés.

Un login d'utilisateur peut être désactivé en cochant la case correspondante. Les profils utilisateur peuvent également faire l'objet d'un réglage avancé en cliquant sur l'onglet ‘Détails’. Ici, vous pouvez définir manuellement l'ID utilisateur, le répertoire maison, le shell de login par défaut et affecter le nouvel utilisateur à des groupes spécifiques. Configurez la validité du mot de passe dans ‘Paramètres du mot de passe’. Cliquez sur ‘Accepter’ pour enregistrer toutes les modifications.

Pour supprimer un utilisateur, sélectionnez-le dans la liste puis cliquez sur ‘Supprimer’. Cochez ensuite la case correspondante puis cliquez sur ‘Oui’ pour que la suppression prenne effet.

Pour l'administration utilisateur avancée, utilisez ‘Options expert’ pour définir les paramètres par défaut de création de nouveaux utilisateurs. Sélectionnez la méthode d'authentification utilisateur (NIS, LDAP, Kerberos ou Samba, qui peuvent toutes être configurées), les paramètres de login (uniquement avec KDM ou GDM) et l'algorithme de cryptage du mot de passe. ‘Nouveaux paramètres utilisateur par défaut’ et ‘Chiffrement du mot de passe’ s'appliquent uniquement aux utilisateurs locaux. ‘Sources utilisateur et authentification’ fournit à l'administrateur une vue d'ensemble de la configuration et la possibilité de configurer le client. La configuration client avancée est également possible à l'aide de ce module (consultez la section correspondante pour de plus amples informations à propos de la configuration du client). Quand la configuration est acceptée, l'administrateur revient à la vue d'ensemble de la configuration. ‘Écrire les modifications maintenant’ permet d'enregistrer toutes les modifications sans quitter le module de configuration.

Figure 3.6. Gestion des utilisateurs

3.6.2. Gestion des groupes

Démarrez le module de gestion des groupes dans le centre de contrôle YaST ou cliquez sur ‘Groupes’ dans le module de gestion des utilisateurs. Les deux boîtes de dialogue possèdent des fonctionnalités identiques, permettant de créer, modifier ou supprimer des groupes.

YaST fournit un aperçu de tous les groupes. Pour ajouter un groupe, cliquez sur ‘Ajouter’ puis saisissez les données appropriées. Les membres des groupes peuvent être sélectionnés dans la liste fournie en cochant les cases correspondantes. Cliquez sur ‘Accepter’ pour créer le groupe. Pour modifier un groupe, sélectionnez le groupe à modifier dans la liste puis cliquez sur ‘Édition’. Apportez toutes les modifications nécessaires puis cliquez sur ‘Accepter’ pour les enregistrer. Pour supprimer un groupe, sélectionnez-le simplement dans la liste puis cliquez sur ‘Supprimer’. Comme dans la boîte de dialogue de gestion des utilisateurs, l'administrateur peut modifier les paramètres des filtres en cliquant sur ‘Définir le filtre’. Consultez la section précédente pour de plus amples informations à ce propos. Cliquez sur ‘Options expert’ pour accéder aux options avancées de gestion des groupes. Vous trouverez de plus ample informations à ce propos à la Section 3.6.1, « Gestion des utilisateurs ».

3.6.3. Paramètres de sécurité

Dans ‘Configuration de la sécurité locale’, qui est accessible sous ‘Sécurité et Utilisateurs’, sélectionnez l'une des quatre options suivantes : ‘Station de travail privée’ pour les ordinateurs autonomes, ‘Station de travail réseau’ pour les stations de travail en réseau ou ‘Serveur réseau’ pour un serveur en réseau. Utilisez ‘Paramètres personnalisés’ pour définir votre configuration personnalisée.

Avec l'un des trois premiers éléments, vous activez un des niveaux d'options de sécurité système prédéfinis dès que vous cliquez sur ‘Terminer’. Un clic sur ‘Détails’ ou sur ‘Paramètres personnalisés’ donne accès aux paramètres individuels que vous pouvez modifier. Cliquez sur ‘Suivant’ pour passer aux étapes suivantes.

‘Paramètres de mot de passe’

Pour que le système vérifie les nouveaux mots de passe avant de les accepter, cliquez sur ‘Vérifier les nouveaux mots de passe’ et ‘Test de complexité des mots de passe’. Définissez la longueur minimum des mots de passe pour les nouveaux utilisateurs. Indiquez une période de validité des mots de passe et le nombre de jours avant l'expiration que l'utilisateur doit être alerté lorsqu'il se connecte à la console de texte.

‘Paramètres d'amorçage’

Indiquez comment la combinaison de touches Ctrl-Alt-Suppr doit être interprétée en sélectionnant l'action souhaitée. Normalement, l'utilisation de cette combinaison de touches dans la console de texte entraîne le redémarrage du système. Vous pouvez cependant lui affecter une autre action. Ne modifiez ce réglage que si votre machine ou serveur est publiquement accessible et que vous craignez que quelqu'un n'effectue cette opération sans y être autorisé. Si vous choisissez ‘Arrêter’, cette combinaison de touches entraîne l'arrêt du système. ‘Ignorer’ permet d'ignorer cette combinaison de touches.

Spécifiez le ‘Comportement de fermeture de KDM’ en accordant des autorisations d'arrêt du système à partir du gestionnaire d'affichage KDE, le login graphique de KDE. Les autorisations peuvent être accordées à ‘Seulement root’ (l'administrateur système), ‘Tous les utilisateurs’, ‘Personne’ ou ‘Utilisateurs locaux’. Si ‘Personne’ est sélectionné, le système ne peut être arrêté que via la console de texte.

‘Paramètres de login’

En règle générale, après un échec de login, un délai d'attente de quelques secondes est imposé avant toute nouvelle tentative. Ceci complique la tâche des renifleurs de mots de passe. Vous pouvez également activer ‘Enregistrer les tentatives de login réussies’ et ‘Autoriser la connexion graphique à distance’. Si vous soupçonnez quelqu'un de tenter de découvrir votre mot de passe, vérifiez les entrées des fichiers journaux du système dans /var/log. Avec ‘Autoriser la connexion graphique à distance’, les autres utilisateurs ont accès à votre écran de login graphique via le réseau. Cette possibilité d'accès constituant un risque potentiel pour la sécurité, elle est désactivée par défaut.

‘Ajout d'utilisateur’

Chaque utilisateur possède un ID d'utilisateur numérique et alphabétique. La corrélation entre les deux est établie via le fichier /etc/passwd et doit être aussi unique que possible. À l'aide des données de cet écran, définissez les plages de nombres affectées à la partie numérique de l'ID utilisateur quand un nouvel utilisateur est ajouté. Il convient d'employer au minimum 500 pour les utilisateurs. Les utilisateurs système générés automatiquement commencent à 1 000. Procédez de même pour les paramètres d'ID de groupe.

‘Paramètres divers’

Pour ‘Définition des droits d'accès aux fichiers’, trois options sont disponibles : ‘Simple’, ‘Sécurisé’ et ‘Paranoïa’. L'aide de YaST fournit des informations détaillées à propos de ces trois niveaux de sécurité. ‘Simple’ doit être suffisant pour la majorité des utilisateurs. L'option‘Paranoïa’ est extrêmement restrictive et peut servir de niveau d'action de base pour les paramètres d'administrateur système. Si vous choisissez ‘Paranoïa’, n'oubliez pas que certains programmes risquent de ne pas fonctionner correctement, voire pas du tout, parce que les utilisateurs ne disposent plus des autorisations nécessaires pour accéder à certains fichiers.

Indiquez également dans cette boîte de dialogue quel utilisateur doit lancer le programme updatedb. Ce programme, qui s'exécute automatiquement une fois par jour ou après le démarrage, génère une base de données (locatedb) répertoriant l'emplacement de chaque fichier sur votre ordinateur. Si vous choisissez ‘Personne’, tout utilisateur aura uniquement accès aux chemins de la base de données qui sont visibles par tout autre utilisateur (sans privilèges). Si vous sélectionnez root, tous les fichiers locaux sont indexés car, en tant que superutilisateur, l'utilisateur root a accès à tous les répertoires. Assurez-vous que les options ‘Répertoire actuel dans le chemin d'accès de root’ et ‘Répertoire actuel dans le chemin d'accès des utilisateurs normaux’ sont désactivées. Seuls les utilisateurs avancés doivent utiliser ces options car elles peuvent constituer un sérieux risque pour la sécurité si elles sont mal utilisées. Enfin, cliquez sur ‘Activer Magic SysRq Keys’ afin de garder le contrôle de votre système, même en cas de plantage.

Cliquez sur ‘Terminer’ pour terminer la configuration de la sécurité.

3.6.4. Pare-feu

Utilisez ce module pour configurer SUSEfirewall2 afin de protéger votre machine contre les attaques en provenance d'Internet. Des informations détaillées sur SUSEfirewall2 sont fournies à la Section 23.1, « Masquage et pare-feux » (↑Référence).

	Activation automatique du pare-feu
YaST démarre automatiquement un pare-feu avec des paramètres adaptés sur chaque interface réseau configurée. Utilisez uniquement ce module si vous souhaitez reconfigurer le pare-feu avec des paramètres personnalisés ou si vous voulez le désactiver.