| 2.8. Sécurité et utilisateurs | ||
|---|---|---|
 | Chapitre 2. Configuration du système avec YaST |  |
| 2.8. Sécurité et utilisateurs | ||
|---|---|---|
| | Chapitre 2. Configuration du système avec YaST | |
Le caractère multi-utilisateur de Linux constitue un de ses aspects fondamentaux. Par conséquent, plusieurs utilisateurs peuvent travailler de façon indépendante sur un même système Linux. Chaque utilisateur possède un compte identifié par un nom de login et un mot de passe pour la connexion au système. Tous les utilisateurs disposent de leurs propres répertoires maison, où sont stockés leurs fichiers et configurations personnels.
Créez et modifiez des utilisateurs avec . Vous obtenez un aperçu des utilisateurs du système, y compris des utilisateurs NIS et LDAP si vous l'avez demandé. Si vous êtes membre d'un réseau très étendu, cliquez sur pour répertorier les utilisateurs par catégories (par exemple les utilisateurs root ou NIS). Vous pouvez également personnaliser les paramètres de filtrage en cliquant sur .
Pour ajouter de nouveaux utilisateurs, cliquez sur et saisissez les données appropriées. Terminez l'ajout en cliquant sur . Le nouvel utilisateur peut alors immédiatement se connecter avec le nom de login et le mot de passe nouvellement créés.
Désactivez le login de l'utilisateur avec l'option correspondante. Les profils utilisateur peuvent également faire l'objet d'un réglage avancé dans . Ici, définissez manuellement l'ID utilisateur, le répertoire maison, le shell de login par défaut et affectez le nouvel utilisateur à des groupes spécifiques. Configurez la validité du mot de passe dans . Cliquez sur pour enregistrer toutes les modifications.
Pour supprimer un utilisateur, sélectionnez-le dans la liste puis cliquez sur . Marquez ensuite si le répertoire personnel doit être supprimé et cliquez sur pour confirmer.
Pour l'administration avancée des utilisateurs, utilisez pour définir les paramètres par défaut de création de nouveaux utilisateurs. Sélectionnez la méthode d'authentification utilisateur (par exemple NIS, LDAP, Kerberos ou Samba), les paramètres de login (uniquement avec KDM ou GDM) et l'algorithme de codage du mot de passe. et s'appliquent uniquement aux utilisateurs locaux. fournit une vue d'ensemble de la configuration et la possibilité de configurer le client. La configuration client avancée est également possible à l'aide de ce module. Après avoir accepté la configuration, revenez à la vue d'ensemble de la configuration. Cliquez sur pour enregistrer toutes les modifications sans quitter le module de configuration.
Pour créer et modifier des groupes, sélectionnez ou cliquez sur dans le module de gestion des utilisateurs. Les deux boîtes de dialogue possèdent des fonctionnalités identiques, permettant de créer, modifier ou supprimer des groupes.
Ce module fournit un aperçu de tous les groupes. Comme dans la boîte de dialogue de gestion des utilisateurs, modifiez les paramètres des filtres en cliquant sur .
Pour ajouter un groupe, cliquez sur puis saisissez les données appropriées. Sélectionnez les membres des groupes dans la liste en cochant les cases correspondantes. Cliquez sur pour créer le groupe. Pour modifier un groupe, sélectionnez le groupe à modifier dans la liste puis cliquez sur . Effectuez les modifications nécessaires, puis enregistrez-les avec . Pour supprimer un groupe, sélectionnez-le simplement dans la liste puis cliquez sur .
Cliquez sur pour accéder aux options avancées de gestion des groupes. Vous trouverez de plus amples informations sur ces options à la Section 2.8.1, « Gestion des utilisateurs ».
Pour appliquer un ensemble de paramètres de sécurité à l'ensemble de votre système, utilisez . Ces paramètres incluent la sécurité pour l'amorçage, le login, les mots de passe, la création d'utilisateurs et les droits d'accès aux fichiers. SUSE Linux offre trois ensembles de sécurité préconfigurés : , et . Modifiez les paramètres par défaut avec . Pour créer votre propre schéma, utilisez .
Les paramètres détaillés ou personnalisés comprennent les éléments suivants :
Pour que le système vérifie la sécurité des nouveaux mots de passe avant de les accepter, cliquez sur et . Définissez la longueur minimum des mots de passe pour les nouveaux utilisateurs. Indiquez une période de validité des mots de passe et le nombre de jours avant l'expiration que l'utilisateur doit être alerté lorsqu'il se connecte à la console de texte.
Indiquez comment la combinaison de touches Ctrl-Alt-Suppr doit être interprétée en sélectionnant l'action souhaitée. Normalement, l'utilisation de cette combinaison de touches dans la console de texte entraîne le redémarrage du système. Ne modifiez ce réglage que si votre machine ou serveur est publiquement accessible et que vous craignez que quelqu'un n'effectue cette opération sans y être autorisé. Si vous choisissez , cette combinaison de touches entraîne l'arrêt du système. permet d'ignorer cette combinaison de touches.
Si vous utilisez le gestionnaire de login de KDE (KDM), définissez les autorisations de fermeture du système dans . Les autorisations peuvent être accordées à (l'administrateur système), , ou . Si est sélectionné, le système ne peut être arrêté que par la console de texte.
En règle générale, après un échec de login, un délai d'attente de quelques secondes est imposé avant toute nouvelle tentative. Ceci complique la tâche des renifleurs de mots de passe. Vous pouvez également activer et . Si vous soupçonnez quelqu'un de tenter de découvrir votre mot de passe, vérifiez les entrées des fichiers journaux du système dans /var/log. Pour accorder à d'autres utilisateurs l'accès à votre écran de login graphique via le réseau, activez . Cette possibilité d'accès constituant un risque potentiel pour la sécurité, elle est désactivée par défaut.
Chaque utilisateur possède un ID d'utilisateur numérique et alphabétique. La corrélation entre les deux est établie en utilisant le fichier /etc/passwd et doit être aussi unique que possible. À l'aide des données de cet écran, définissez les plages de nombres affectées à la partie numérique de l'ID utilisateur quand un nouvel utilisateur est ajouté. Il convient d'employer au minimum 500 pour les utilisateurs. Les utilisateurs système générés automatiquement commencent à 1 000. Procédez de même pour les paramètres d'ID de groupe.
Pour utiliser des paramètres prédéfinis de droits d'accès aux fichiers, sélectionnez , ou . doit être suffisant pour la majorité des utilisateurs. Le paramètre est extrêmement restrictif et peut servir de niveau d'action de base pour les paramètres personnalisés. Si vous choisissez , n'oubliez pas que certains programmes risquent de ne pas fonctionner correctement, voire pas du tout, parce que les utilisateurs ne disposent plus des autorisations nécessaires pour accéder à certains fichiers.
Indiquez également quel utilisateur doit lancer le programme updatedb, s'il est installé. Ce programme, qui s'exécute automatiquement une fois par jour ou après le démarrage, génère une base de données (locatedb) répertoriant l'emplacement de chaque fichier sur votre ordinateur. Si vous choisissez , tout utilisateur aura uniquement accès aux chemins de la base de données qui sont visibles par tout autre utilisateur (sans privilèges). Si vous sélectionnez root, tous les fichiers locaux sont indexés car, en tant que superutilisateur, l'utilisateur root a accès à tous les répertoires. Assurez-vous que les options et sont désactivées. Seuls les utilisateurs avancés doivent utiliser ces options car elles peuvent constituer un sérieux risque pour la sécurité si elles sont mal utilisées. Afin de garder le contrôle de votre système, même en cas de plantage, cliquez sur .
Cliquez sur pour terminer la configuration de la sécurité.
SuSEfirewall2 peut protéger votre machine contre les attaques en provenance d'Internet. Configurez-le avec . Vous trouverez des informations détaillées sur SuSEfirewall2 à la Section 4.1, « Masquage et pare-feux » (↑Référence).
![[Tip]](admon/tip.png) | Activation automatique du pare-feu |
|---|---|
YaST démarre automatiquement un pare-feu avec des paramètres adaptés sur chaque interface réseau configurée. Utilisez uniquement ce module si vous souhaitez reconfigurer le pare-feu avec des paramètres personnalisés ou si vous voulez le désactiver. | |
| |  | |
| 2.7. AppArmor |  | 2.9. Système |