3.6. Sicurezza e utenti

SUSEDocumentazione LINUX Capitolo 3. Configurazione di sistema con YaST / 3.6. Sicurezza e utenti
	3.5. Servizi di rete		3.7. Sistema

Un aspetto base di Linux è la funzionalità multiutente. Di conseguenza, sullo stesso sistema Linux possono lavorare più utenti contemporaneamente. Ogni utente dispone di un account identificato da un nome di login e una password personale per l'accesso al sistema. Tutti gli utenti hanno la propria directory home in cui vengono memorizzati file e configurazioni personali.

3.6.1. Gestione utenti

Scegliendo la gestione utenti, viene visualizzato il modulo di YaST per l'amministrazione degli utenti, che fornisce una panoramica di tutti gli utenti locali presenti nel sistema. Se si appartiene a una rete ampia, fare clic su ‘Imposta filtro’ per elencare tutti gli utenti per categoria (ad esempio root o utenti NIS). È, inoltre, possibile personalizzare le impostazioni di filtro facendo clic su ‘Personalizza filtro’.

Invece di passare da un singolo gruppo utenti ad un altro, è necessario combinarli in base alle proprie esigenze. Per aggiungere nuovi utenti, fare clic su ‘Aggiungi’ e inserire i dati appropriati. Facendo clic su ‘Accetto’, il processo viene completato e il nuovo utente può effettuare immediatamente il login utilizzando nome utente e parola d'ordine.

Il login utente può essere disabilitato selezionando la relativa casella. I profili utente possono essere ottimizzati nella scheda ‘Dettagli’. Qui è possibile impostare manualmente ID utente, directory home, shell di login di default e assegnare il nuovo utente a gruppi specifici. Configurare la validità della parola d'ordine in ‘Impostazioni parola d'ordine’. Per salvare le modifiche, fare clic su ‘Accetto’.

Per eliminare un utente, selezionarne il nome nell'elenco e fare clic su ‘Elimina’. Qundi selezionare la casella e fare clic su ‘sì’ per rendere effettiva l'eliminazione.

Per l'amministrazione utenti avanzata, scegliere ‘Opzioni per esperti’ per definire le impostazioni di default per la creazione di nuovi utenti. Selezionare il metodo di autenticazione degli utenti (NIS, LDAP, Kerberos o Samba, tutti questi possono essere configurati), le impostazioni di login (solo con KDM o GDM) e l'algoritmo per la cifratura delle parole d'ordine. Le opzioni ‘Default per nuovi utenti’ e ‘Cifratura parola d'ordine’ sono applicabili solo agli utenti locali. L'opzione ‘Autenticazione e sorgenti utente’ fornisce all'amministratore una panoramica della configurazione e l'opzione per configurare il client. Tramite questo modulo è possibile anche la configurazione avanzata del client (per ulteriori informazioni vedere la relativa sezione sulla configurazione del client). Dopo aver accettato la configurazione, l'amministratore ritorna alla iniziale panoramica della configurazione. Facendo clic su ‘Scrivi modifiche ora’ vengono salvate tutte le modifiche senza uscire dal modulo di configurazione.

Figura 3.6. Gestione utenti

3.6.2. Gestione gruppi

Dal centro di controllo YaST avviare il modulo di gestione dei gruppi oppure fare clic su ‘Gruppi’ nel modulo di amministrazione utenti. Entrambe le finestre di dialogo hanno le stesse funzionalità, consentendo di creare, modificare o eliminare i gruppi.

YaST visualizza una panoramica di tutti i gruppi. Per aggiungere un gruppo, fare clic su ‘Aggiungi’ e inserire i dati appropriati. I membri del gruppo possono essere scelti dal relativo elenco, selezionando la casella corrispondente. Per creare il gruppo, fare clic su ‘Accetto’. Per modificare un gruppo, selezionarne il nome nell'elenco e fare clic su ‘Modifica’. Effettuare tutte le modifiche necessarie, quindi fare clic su ‘Accetto’ per salvarle. Per eliminare un gruppo, è sufficiente selezionarne il nome nell'elenco e fare clic su ‘Elimina’. Cme avviene nella finestra di dialogo di gestione degli utenti, l'amministratore può modificare le impostazioni di filtro facendo clic su ‘Imposta filtro’. Per ulteriori informazioni su questo argomento, fare riferimento alla sezione precedente. Per una gestione avanzata dei gruppi, fare clic su ‘Opzioni per esperti’. Per ulteriori informazioni su questo argomento, vedere la Sezione 3.6.1, «Gestione utenti».

3.6.3. impostazioni di sicurezza

In ‘Configurazione della sicurezza locale’, che si trova in ‘Sicurezza&utenti’, selezionare una delle seguenti quattro opzioni: ‘Workstation home’ per computer autonomi, ‘Workstation collegata in rete’ per workstation in rete o ‘Server di rete’ per server provvisto di rete. Per le configurazioni personali, scegliere ‘Impostazioni personalizzate’.

Facendo clic su una delle prime tre voci, e quindi su ‘Fine’, viene attivato uno dei livelli delle opzioni di sicurezza di sistema preconfigurate. Facendo clic su ‘Dettagli’ o su ‘Impostazioni personalizzate’, vengono visualizzate impostazioni individuali modificabili. Premendo ‘Avanti’, si procede ai passaggi successivi.

‘Impostazioni delle parole d'ordine’

Per impostare la verifica da parte del sistema di nuove parole d'ordine prima dell'accettazione, fare clic su ‘Verifica nuove password’ e ‘Verifica password complesse’. Impostare la lunghezza minima delle parole d'ordine create dai nuovi utenti. Definire il periodo di validità della parola d'ordine e quanti giorni prima della scadenza deve essere visualizzato un avviso per l'utente che effettua il login nella console di testo.

‘Impostazioni di avvio’

Selezionare l'azione desiderata che deve essere compiuta quando viene premuta la combinazione di tasti Ctrl-Alt-Canc. Se premuta nella console di testo, normalmente questa combinazione causa il riavvio del sistema. Tuttavia, è possibile specificare un'azione personalizzata per questa combinazione di tasti. Non modificare questa impostazione a meno che il computer o il server siano accessibili al pubblico e si teme che qualcuno possa effettuare questa azione senza autorizzazione. Scegliendo ‘Interrompi’, questa combinazione di tasti causa l'arresto del sistema. Scegliendo ‘Ignora’, questa combinazione di tasti viene ignorata.

Specificare il ‘Comportamento di arresto di KDM’ autorizzando l'arresto del sistema a partire dal display manager KDE, il login grafico di KDE. Definire le autorizzazioni per ‘Solo root’ (l'amministratore di sistema), ‘Tutti gli utenti’, ‘Nessuno’ o ‘Utenti locali’. Selezionando ‘Nessuno’, il sistema può essere arrestato solo tramite la console di testo.

‘Impostazioni di login’

Normalmente, dopo un tentativo fallito di login, c'è un periodo di attesa di qualche secondo prima di poter eseguire un altro tentativo. In questo modo viene reso difficile l'accesso non autorizzato degli sniffer di password. È possibile, comunque, selezionare l'opzione ‘Registra i tentativi di accesso riusciti’ e ‘Permetti accesso grafico da remoto’. Se l'utente sospetta che qualcuno stia tentando di scoprire la sua parola d'ordine, occorre che verifichi le voci nei file di registro del sistema presenti in /var/log. Scegliendo ‘Permetti accesso grafico da remoto’, altri utenti sono autorizzati ad accedere alla schermata di accesso grafico tramite la rete. Dal momento che questa possibilità di accesso rappresenta un potenziale rischio per la sicurezza, l'opzione è inattiva di default.

‘Aggiunta di utenti’

Ogni utente dispone di un ID utente numerico e alfabetico. La correlazione tra questi viene stabilita tramite il file /etc/passwd ed è consigliabile che rimanga univoca per quanto possibile. Utilizzzando i dati in questa schermata, definire l'intervallo di numeri assegnati alla parte numerica dell'ID utente quando viene aggiunto un nuovo utente. Un minimo di 500 è appropriato per gli utenti. Gli utenti generati automaticamente dal sistema iniziano da 1000. Procedere nello stesso modo con le impostazioni di ID del gruppo.

‘Impostazioni varie’

Per ‘Impostazione delle autorizzazioni file’, esistono tre opzioni di selezione: ‘Semplice’, ‘Sicura’ e ‘Paranoide’. La guida di YaST fornisce informazioni dettagliate sui tre livelli di sicurezza. ‘Semplice’ dovrebbe essere sufficiente per la maggior parte degli utenti. L'impostazione ‘Paranoide’ è estremamente restrittiva e può servire da livello base di funzionamento per le impostazioni per l'amministratore di sistema. Se si seleziona ‘Paranoide’, ricordarsi che alcuni programmi potrebbero non funzionare correttamente o per niente, poiché gli utenti non avrebbero più l'autorizzazione di accedere a determinati file.

In questa finestra di dialogo, definire anche quale utente deve lanciare il programma updatedb. Questo programma, che viene eseguito in maniera automatica una volta al giorno oppure dopo ogni avvio, genera un database (locatedb) in cui viene memorizzata la posizione di ciascun file. Se si seleziona ‘Nessuno’, ogni utente può trovare nel database solo i percorsi visibili da qualsiasi altro utente (senza privilegi). Se si seleziona root, tutti i file locali vengono indicizzati, poiché l'utente root, in qualità di superutente, può accedere a tutte le directory. Accertarsi che le opzioni ‘Directory corrente nel percorso radice’ e ‘Directory corrente nel path di un utente normale’ siano disabilitate. È consigliabile che solo gli utenti esperti possano valutare se selezionare queste caselle, poiché queste impostazioni potrebbero causare un rischio significativo per la sicurezza, se usate in maniera non corretta. Infine, fare clic su ‘Attiva Magic SysRq Keys’ per avere un certo controllo sul sistema anche in caso di arresto.

Per terminare la configurazione per la sicurezza, premere ‘Fine’.

3.6.4. Firewall

Utilizzare questo modulo per configurare SuSEfirewall2 per la protezione contro gli attacchi da Internet. Informazioni dettagliate su SuSEfirewall2 sono disponibili nella Sezione 23.1, «Mascheramento e firewall» (↑Riferimento).

	Attivazione automatica del firewall
YaST avvia automaticamente un firewall con impostazioni appropriate su ogni interfaccia di rete configurata. Avviare questo modulo solo se si desidera riconfigurare il firewall con impostazioni personalizzate o disattivarlo.