| 2.8. Sicurezza e utenti | ||
|---|---|---|
 | Capitolo 2. Configurazione di sistema con YaST |  |
| 2.8. Sicurezza e utenti | ||
|---|---|---|
| | Capitolo 2. Configurazione di sistema con YaST | |
Un aspetto base di Linux è la funzionalità multiutente. Di conseguenza, sullo stesso sistema Linux possono lavorare più utenti contemporaneamente. Ogni utente dispone di un account identificato da un nome di login e una password personale per l'accesso al sistema. Tutti gli utenti hanno la propria directory home in cui vengono memorizzati file e configurazioni personali.
Con è possibile creare e modificare utenti. Presenta una panoramica degli utenti nel sistema, tra cui anche gli utenti NIS e LDAP, se necessario. Se si appartiene a una rete ampia, fare clic su per elencare tutti gli utenti per categoria (ad esempio root o utenti NIS). È, inoltre, possibile personalizzare le impostazioni di filtro facendo clic su .
Per aggiungere nuovi utenti, fare clic su e inserire i dati appropriati. Per terminare l'operazione di aggiunta, fare clic su . Il nuovo utente può eseguire immediatamente il login, utilizzando nome utente e password appena creati.
È possibile disabilitare il login utente con l'opzione corrispondente. In è possibile ottimizzare i profili utente. Qui è possibile impostare manualmente ID utente, directory home, shell di login di default e assegnare il nuovo utente a gruppi specifici. Configurare la validità della parola d'ordine in . Per salvare le modifiche, fare clic su .
Per eliminare un utente, selezionarne il nome nell'elenco e fare clic su . Successivamente, contrassegnare in caso di eliminazione della home directory e fare clic su per confermare.
Per l'amministrazione utenti avanzata, scegliere per definire le impostazioni di default per la creazione di nuovi utenti. Selezionare il metodo di autenticazione degli utenti (come NIS, LDAP, Kerberos o Samba), le impostazioni di login (solo con KDM o GDM) e l'algoritmo per la cifratura delle parole d'ordine. Le opzioni e sono applicabili solo agli utenti locali. L'opzione fornisce una panoramica della configurazione e l'opzione per configurare il client. Con questo modulo è possibile anche eseguire la configurazione avanzata del client. Dopo aver accettato la configurazione, si ritorna alla panoramica iniziale. Facendo clic su vengono salvate tutte le modifiche senza uscire dal modulo di configurazione.
Per creare o modificare gruppi, scegliere oppure fare clic su nel modulo di amministrazione utenti. Entrambe le finestre di dialogo hanno le stesse funzionalità, consentendo di creare, modificare o eliminare i gruppi.
Questo modulo visualizza una panoramica di tutti i gruppi. Come avviene nella finestra di dialogo di gestione degli utenti, è possibile modificare le impostazioni di filtro facendo clic su .
Per aggiungere un gruppo, fare clic su e inserire i dati appropriati. Scegliere dall'elenco i membri del gruppo, selezionando la casella corrispondente. Per creare il gruppo, fare clic su . Per modificare un gruppo, selezionarne il nome nell'elenco e fare clic su . Effettuare tutte le modifiche desiderate, quindi salvarle facendo clic su . Per eliminare un gruppo, è sufficiente selezionarne il nome nell'elenco e fare clic su .
Per una gestione avanzata dei gruppi, fare clic su . Per ulteriori informazioni su queste opzioni, vedere la Sezione 2.8.1, "Gestione utenti".
Per applicare un insieme di impostazioni di sicurezza all'intero sistema, utilizzare . Queste impostazioni includono la sicurezza per avvio, login, password, creazione utenti e autorizzazioni per i file. SUSE Linux offre tre pacchetti di sicurezza preconfigurati: , e . Modificare le impostazioni predefinite con . Per creare il proprio schema, utilizzare .
Le impostazioni dettagliate o personalizzate includono:
Per impostare la verifica da parte del sistema per la sicurezza di nuove parole d'ordine prima dell'accettazione, fare clic su e . Impostare la lunghezza minima delle parole d'ordine create dai nuovi utenti. Definire il periodo di validità della parola d'ordine e quanti giorni prima della scadenza deve essere visualizzato un avviso per l'utente che effettua il login nella console di testo.
Impostare l'azione desiderata che deve essere compiuta quando viene premuta la combinazione di tasti Ctrl-Alt-Canc. Se premuta nella console di testo, normalmente questa combinazione causa il riavvio del sistema. Non modificare questa impostazione a meno che il computer o il server siano accessibili al pubblico e si teme che qualcuno possa effettuare questa azione senza autorizzazione. Scegliendo , questa combinazione di tasti causa l'arresto del sistema. Scegliendo , questa combinazione di tasti viene ignorata.
Se si utilizza il gestore di login di KDE (KDM), impostare le autorizzazione per lo spegnimento del sistema in . Definire le autorizzazioni per , , o . Selezionando , il sistema può essere arrestato solo tramite la console di testo.
Normalmente, dopo un tentativo fallito di login, c'è un periodo di attesa di qualche secondo prima di poter eseguire un altro tentativo. In questo modo viene reso difficile l'accesso non autorizzato degli sniffer di password. È possibile, comunque, selezionare l'opzione e . Se l'utente sospetta che qualcuno stia tentando di scoprire la sua parola d'ordine, occorre che verifichi le voci nei file di registro del sistema presenti in /var/log. Per concedere l'accesso alla schermata grafica di login tramite la rete ad altri utenti, abilitare . Dal momento che questa possibilità di accesso rappresenta un potenziale rischio per la sicurezza, l'opzione è inattiva di default.
Ogni utente dispone di un ID utente numerico e alfabetico. La correlazione tra questi viene stabilita tramite il file /etc/passwd ed è consigliabile che rimanga univoca per quanto possibile. Utilizzando i dati in questa schermata, definire l'intervallo di numeri assegnati alla parte numerica dell'ID utente quando viene aggiunto un nuovo utente. Un minimo di 500 è appropriato per gli utenti. Gli utenti generati automaticamente dal sistema iniziano da 1000. Procedere nello stesso modo con le impostazioni di ID del gruppo.
Per utilizzare impostazioni predefinite per l'autorizzazione ai file, scegliere , o . dovrebbe essere sufficiente per la maggior parte degli utenti. L'impostazione è estremamente restrittiva e può servire da livello base di funzionamento per le impostazioni personalizzate. Se si seleziona , ricordarsi che alcuni programmi potrebbero non funzionare correttamente o per niente, poiché gli utenti non avrebbero più l'autorizzazione di accedere a determinati file.
Impostare anche l'utente che deve avviare il programma updatedb, se installato. Questo programma, che viene eseguito in maniera automatica una volta al giorno oppure dopo ogni avvio, genera un database (locatedb) in cui viene memorizzata la posizione di ciascun file. Se si seleziona , ogni utente può trovare nel database solo i percorsi visibili da qualsiasi altro utente (senza privilegi). Se si seleziona root, tutti i file locali vengono indicizzati, poiché l'utente root, in qualità di superutente, può accedere a tutte le directory. Accertarsi che le opzioni e siano disabilitate. È consigliabile che solo gli utenti esperti possano valutare se utilizzare queste opzioni, poiché queste impostazioni potrebbero causare un rischio significativo per la sicurezza, se usate in maniera non corretta. Per avere il controllo sul sistema anche in caso di arresto improvviso, fare clic su .
Per terminare la configurazione per la sicurezza, premere .
SuSEfirewall2 è in grado di proteggere il computer contro gli attacchi provenienti da Internet. Per configurarlo, utilizzare . Per informazioni dettagliate su SuSEfirewall2, vedere la Sezione 4.1, " Mascheramento e firewall" (↑Riferimento).
![[Tip]](admon/tip.png) | Attivazione automatica del firewall |
|---|---|
YaST avvia automaticamente un firewall con impostazioni appropriate su ogni interfaccia di rete configurata. Avviare questo modulo solo se si desidera riconfigurare il firewall con impostazioni personalizzate o disattivarlo. | |
| |  | |
| 2.7. AppArmor |  | 2.9. Sistema |