3.6. 安全性和用户

SUSE LINUX 文档第 3 章使用 YaST 进行系统配置 / 3.6. 安全性和用户
	3.5. 网络服务		3.7. 系统

多用户功能是 Linux 的一个基本特点。因此，多个用户可以相互独立地在同一个 Linux 系统上工作。每个用户都有一个由登录名标识的用户帐户和一个用于登录系统的个人口令。所有用户都有自己的主目录，其中储存着他们的个人文件和配置。

3.6.1. 用户管理

在您选择管理用户之后，会打开 YaST 用户管理模块，它为您提供系统上所有本地用户的概述。如果您是大型网络的一部分，请单击‘设置过滤器’来按类别列出所有用户（例如 root 或 NIS 用户）。您还可以通过单击‘自定义过滤器’来自定义过滤器设置。

这里不是在各个用户组之间进行切换，而是根据您的需要结合它们。要添加新用户，单击‘添加’并输入相应的数据。通过单击‘接受’，将完成此进程，新用户可以立即使用新创建的登录名和口令登录。

可以选中提供的框来禁用用户登录。还可以通过单击‘细节’选项卡来微调用户配置文件。在此处，您可以手动设置用户 ID、主目录、默认登录 shell 和将新用户指派到特定组。在‘口令设置’中配置口令的有效性。单击‘接受’保存所有更改。

要删除某用户，请从列表中将其选中，然后单击‘删除’。然后选中框，并单击‘是’以使删除生效。

对于高级用户管理，可使用‘专家选项’来定义用于创建新用户的默认设置。选择用户鉴定方法（NIS、LDAP、Kerberos 或 Samba，所有这些方法都可以进行配置），登录设置（仅对于 KDM 或 GDM）和口令加密算法。‘新用户的默认值’和‘口令加密’仅适用于本地用户。‘鉴定和用户源’为管理员提供配置概述和配置客户程序的选项。使用此模块还能够进行高级客户程序配置（请参见相关部分以获取有关配置客户程序的信息）。在接受配置之后，管理员会返回到初始配置概述。单击‘立即写入更改’会在不退出配置模块的情况下保存所有更改。

图 3.6. 用户管理

3.6.2. 组管理

从 YaST 控制中心启动组管理模块，或单击用户管理模块中的‘组’。这两个对话框的功能相同，用于创建、编辑或删除组。

YaST 提供所有组的概述。要添加组，单击‘添加’并输入相应的数据。可通过选中对应的框来从提供的列表中选择组成员。单击‘接受’会创建组。要编辑组，从列表中选择要编辑的组并单击‘编辑’。进行所有必需的更改并单击‘接受’以保存更改。要删除组，请从列表中将其选中，然后单击‘删除’。与用户管理对话框相同，管理员可以通过单击‘设置过滤器’来更改过滤器设置。请参考前面的部分以获取有关此操作的更多信息。单击‘专家选项’以进行高级组管理。有关此操作的详细信息，请参见第 3.6.1 节 “用户管理”。

3.6.3. 安全性设置

在‘本地安全性配置’（可从‘安全性 & 用户’下访问）中，选择以下四个选项之一：‘主工作站’（独立计算机）、‘联网工作站’（带有网络的工作站）或‘网络服务器’（带有网络的服务器）。‘自定义设置’用于自己的配置。

通过单击这前三项中的其中一项，当您单击‘完成’时就可以激活预配置系统安全性选项的其中一个级别。通过单击‘细节’或选择‘自定义设置’，会为您提供可以进行修改的各个设置。通过单击‘下一步’来继续执行后续步骤。

‘口令设置’

为了使系统在接受新口令之前对其进行检查，请单击‘检查新口令’和‘复杂口令测试’。设置新创建用户的口令的最小长度。定义口令的有效期间以及提前多少天在用户登录文本控制台时发出口令过期警报。

‘引导设置’

通过选择所需的操作来指定如何解释组合键 Ctrl-Alt-Del。通常情况下，在文本控制台中输入这个组合键时会导致系统重引导。但是，您可以指定按下此组合键时所发生的操作。除非您的计算机或服务器是公共访问的，而您又担心有人会在没有授权的情况下执行此操作，否则不要修改此设置。如果选择‘停止’，这个组合键将关闭系统。如果选择‘忽略’，将忽略此组合键。

通过授予从 KDE 显示管理器（KDE 的图像登录）关闭系统的权限来指定 ‘KDM 的关闭行为’。可为‘仅 root 用户’（系统管理员）、‘所有用户’、‘无人’或‘本地用户’提供许可权。如果选择‘无人’，就只能通过文本控制台关闭系统。

‘登录设置’

通常情况下，在登录尝试失败后，需要等数秒之后才能尝试重新登录。这样就使口令嗅探者难以登录。还可以选择激活‘记录成功登录尝试’和‘允许远程图形登录’。如果您怀疑某人试图盗取您的口令，可检查 /var/log 中系统日志文件中的项。选择‘允许远程图形登录’，可允许其它用户通过网络访问您的图形登录屏幕。由于这一访问功能具有潜在的安全风险，所以在默认情况下它处于非活动状态。

‘其它用户设置’

每个用户都有一个数字用户 ID 和一个字母用户 ID。二者之间的相互关系是通过文件 /etc/passwd 建立起来的，而且应尽可能地保持唯一性。使用此屏幕中的数据，可定义在添加新用户时指派给用户 ID 的数字部分的数字范围。对于用户来说，这一数字最小应为 500。自动生成的系统用户以 1000 开头。以与组 ID 设置相同的方法来继续设置。

‘其他设置’

‘文件权限的设置’有 3 个选择选项：‘简单’、‘安全’和‘高度警惕’。YaST 帮助文本提供了关于 3 个安全性级别的详细信息。对大多数用户而言使用‘容易’就足够了。‘高度警惕’设置的限制极为严格，并可以作为系统管理员设置的基本操作级别。如果选择‘高度警惕’，应注意某些程序可能不能正确工作或甚至不能工作，原因是用户不再具有访问某些文件的权限。

在这个对话框中，还定义了哪个用户应启动 updatedb 程序。该程序每天定期自动运行或在引导后自动运行，并生成一个数据库 (locatedb)，其中储存着每个文件在您的计算机上的位置。如果选择‘无人’，则任何用户都只能在数据库中找到任何其他（未授权）用户均可看到的路径。如果选择 root，则将索引所有本地文件，原因是 root 是超级用户，可以访问所有目录。请确保取消激活了选项‘根路径中的当前目录’和‘一般用户的路径中的当前目录’。只有高级用户才应考虑选中这些框，因为若使用错误，这些设置可能会产生严重的安全性风险。最后，单击‘启用 Magic SysRq Keys’，则即使在系统崩溃的情况下您也能对系统进行某些控制。

按‘完成’以完成安全性配置。

3.6.4. 防火墙

使用此模块来配置 SUSEfirewall2，以保护您的计算机免受来自因特网的攻击。有关 SUSEfirewall2 的详细信息，请参见第 23.1 节 “伪装和防火墙” (↑参考)。

	自动激活防火墙
YaST 会在每个已配置的网络接口上自动启动具有适当设置的防火墙。只有您希望使用自定义设置重配置防火墙或取消它时，才启动此模块。