3.6. 保全性與使用者

SUSE LINUX 文件章 3. 使用 YaST 進行系統組態 / 3.6. 保全性與使用者
	3.5. 網路服務		3.7. 系統

多重使用者是 Linux 的基本功能。因此，多位使用者可以在相同的 Linux 系統上獨立進行工作。登入名稱與個人密碼可用來識別每位使用者的使用者帳戶，以供登入系統使用。所有使用者都會擁有自己的主目錄，用以儲存個人檔案與組態。

3.6.1. 使用者管理

選擇管理使用者之後，會開啟「YaST 使用者管理」模組，提供您系統所有本機使用者的概觀。如果是大型網路的一部份，請按一下 ‘設定過濾器’，列出所有使用者類別 (例如，root 或 NIS 使用者)。您亦可按一下 ‘自訂過濾器’ 自訂過濾器設定。

除了在個別使用者群組間切換之外，也可以根據您的需要來合併群組。若要新增新使用者，請按一下 ‘新增’ 並輸入適當的資料。按一下 ‘接受’，則完成程序，且新使用者立即可使用新建立的登入名稱與密碼登入。

您可勾選提供的方塊，停用使用者的登入。使用者設定檔亦可透過 ‘詳細資料’ 標籤進行微調。您可在此手動設定使用者 ID、主目錄、預設登入外圍程序，並將新使用者指派至特定群組。在 ‘密碼設定’ 中設定密碼的有效性。請按一下 ‘接受’ 來儲存變更。

若要刪除使用者，請選擇清單上的使用者，然後按一下 ‘刪除’。再勾選方塊，並按一下 ‘是’ 讓刪除動作生效。

如需進階的使用者管理，請使用 ‘進階選項’ 來定義建立新使用者的預設設定。選擇使用者驗證方法 (NIS、LDAP、Kerberos 或 Samba 等均可設定)、登入設定 (只能設定 KDM 或 GDM)，和密碼加密的演算法。‘新使用者預設’ 和 ‘密碼加密’ 只會套用至本機使用者。‘驗證與使用者來源’ 提供管理員組態概觀與設定用戶端的選項。您亦可使用此模組進行進接的用戶端設定 (請參閱個別章節以取得用戶端設定的進一步資訊)。接受設定之後，管理員會回到初始組態概觀。按一下 ‘立即寫入變更’，在不離開設定模組的情況下儲存所有變更。

圖形 3.6. 使用者管理

3.6.2. 群組管理

從「YaST 控制中心」啟動群組管理模組，或是在「使用者管理」模組中按一下 ‘群組’。這兩個對話方塊擁有相同的功能，都可讓您建立、編輯或刪除群組。

YaST 提供所有群組的概觀。若要新增群組，請按一下 ‘新增’ 並輸入適當的資料。您可勾選對應的方塊，從提供的清單中選擇群組成員。按一下 ‘接受’ 建立群組。若要編輯群組，請從清單中選擇要編輯的群組，並按一下 ‘編輯’。進行所有必要的變更，並按一下 ‘接受’ 儲存變更。若要刪除群組，只需從清單中選擇，然後按一下 ‘刪除’。和使用者管理對話相同，管理員可按一下 ‘設定過濾器’ 變更過濾器設定。請參考先前的章節，以取得更多資訊。按一下 ‘進階選項’ 進行進階的群組管理。關於此功能的更多資訊，請參閱節 3.6.1, "使用者管理"。

3.6.3. 安全性設定

請在 ‘安全性與使用者’ 下的 ‘本地安全性組態’ 中，選擇下列其中一種選項：供獨立電腦使用的 ‘主工作站’、供網路工作站使用的 ‘網路工作站’，或供網路伺服器使用的 ‘網路伺服器’。如需您自己的組態，請使用 ‘自訂設定’。

按一下三項目之一，以在按一下 ‘結束’ 同時，立刻啟動三個預先設定的系統安全性選項之一。您可按一下 ‘詳細資料’ 或選擇 ‘自訂設定’，就會提供您可修改的個別設定。按一下 ‘下一步’ 繼續下面的步驟。

‘密碼設定’

接受新的密碼之前，若要系統檢查密碼，請按一下 ‘檢查新密碼’ 與 ‘測試複雜密碼’。為新建立的使用者設定密碼長度的下限。定義密碼的有效期間，以及應該在到期前幾天內，於該使用者登入文字主控台時就發出警示。

‘開機設定’

選擇想要的動作，指定解譯按鍵組合 Ctrl-Alt-Del 的方式。通常在文字主控台中輸入此組合，就會讓系統重新開機。然而，您可指定按此按鍵組合時要執行的動作。除非您的電腦或伺服器可供公用存取，而且您擔心會有人未經過授權就執行此動作，否則請不要修改此設定。如果選擇 ‘停止’，此按鍵組合就會使系統關機。使用 ‘忽略’，則會忽略此按鍵組合。

授與權限來指定 ‘KDM 的關機行為’，從 KDE 顯示管理員 (KDE 的圖形化登入) 關閉系統。可將權限授與 ‘只有 root’ (系統管理員)、‘所有使用者’、‘無人’ 或 ‘本地使用者’。如果選擇 ‘無人’，就只能透過文字主控台來關閉系統。

‘登入設定’

一般情況下，登入失敗之後會先等待數秒，然後才能進行另一次登入。如此可讓密碼監聽程式 (Sniffer) 不容易登入。可選擇性啟用 ‘記錄成功登入次數’ 與 ‘允許遠端圖形登入’。如果您懷疑有人試圖要找出您的密碼時，請在 /var/log 中檢查系統記錄檔中的項目。利用 ‘允許遠端圖形登入’，其他使用者就可以透過網路取得圖形登入畫面的存取權。因為此存取方式有潛在的安全性風險，因此預設會關閉該功能。

‘使用者其他’

每位使用者都擁有數值與字母混合的使用者 ID。之間的關聯是透過 /etc/passwd 檔案建立，而且應該是唯一的。使用此畫面中的資料，可在新增使用者時，針對要指定給使用者 ID 的數值部分來定義數字範圍。使用者適用的下限為 500。自動產生的系統使用者會從 1000 開始。請以群組 ID 設定的相同步驟繼續。

‘其他設定’

對於 ‘檔案許可權設定’ 而言，共有三種選項：‘簡易’、‘保全’ 與 ‘Paranoid’。YaST 說明文字會提供三種安全性層級的相關資訊。‘簡易’ 選項對於大部分使用者而言應已足夠。‘Paranoid’ 設定相當嚴格，而且可作為系統管理員設定的作業基礎。請記得，如果選取 ‘aranoid’，有些程式可能就無法運作或無法正確運作，因為使用者可能已經不具備存取特定檔案的權限。

在此對話方塊中，也可以定義哪些使用者可以啟動 updatedb 程式。此程式每天都會自動執行，或是在開機後執行，您電腦上每個檔案的儲存位置都會包含在所產生的資料庫 (locatedb) 內。如果選擇 ‘無人’，則使用者都只能夠在資料庫中，找到其他 (未經授權) 使用者都能看到的路徑。如果選擇 root，則會製作所有本地檔案的索引，因為 root 使用者是超級使用者，可以存取所有目錄。確認已停用 ‘根路徑中目前的目錄’ 和 ‘ㄧ般使用者路徑中目前的目錄’。只有進階使用者才應考慮勾選這些選項，因為若使用錯誤的話，這些設定可能導致明顯的安全性風險。最後，按一下 ‘開啟魔術 SysRq 鑰匙’，即使系統當機，也能擁有控制權。

按一下 ‘完成’ 來完成安全性組態。

3.6.4. 防火牆

使用此模組來設定 SUSEfirewall2，可保護您的電腦不會受到來自網際網路的攻擊。有關 SUSEfirewall2 的詳細資訊，請參閱節 23.1, " 偽裝與防火牆" (↑參考)。

	自動啟動防火牆
YaST 會根據每個已設定的網路介面，以合適的設定自動啟動防火牆。如果想要以自訂設定重新設定防火牆，或是關閉防火牆功能，請僅啟動此模組。