| 2.8 セキュリティとユーザ | ||
|---|---|---|
 | 第2章 YaSTでのシステム設定 |  |
| 2.8 セキュリティとユーザ | ||
|---|---|---|
| | 第2章 YaSTでのシステム設定 | |
Linuxの基本的な特徴の1つは、マルチユーザ機能です。つまり、複数のユーザが同じLinuxシステム上で個別に作業することができます。各ユーザは、システムにログインするためのログイン名と個人パスワードにより識別されるユーザアカウントを持ちます。すべてのユーザは独自のホームディレクトリを持ち、そこに個人的なファイルと設定を保存します。
を使用して、ユーザの作成および編集を行います。これは、必要があればNISおよびLDAPユーザを含む、システム内のユーザの概要を提供します。大規模なネットワークに属している場合、をクリックしてすべてのユーザ(rootまたはNISユーザなど)をカテゴリごとにリストします。をクリックして、フィルタ設定をカスタマイズすることもできます。
新規ユーザを作成するには、をクリックして、適切なデータを入力します。をクリックして、すべての変更を完了します。新しいユーザは新規作成されたログイン名とパスワードを使用してただちにログインできます。
対応するオプションを使用して、ユーザログインを無効にします。ユーザプロファイルは、内で調整できます。ここでは、ユーザID、ホームディレクトリ、デフォルトログインシェルの手動設定ができ、新規ユーザを特定のグループに割り当てることができます。パスワードの妥当性をで設定します。 をクリックして、変更内容を保存します。
ユーザを削除するには、リストからユーザを選択して、をクリックします。その後、ホームディレクトリを削除するかどうかマークし、をクリックして確認します。
高度なユーザ管理の場合、を使用して新しいユーザを作成する場合のデフォルト設定を定義します。ユーザ認証方法(NIS、LDAP、Kerberos、またはSambaなど)、ログイン設定(KDMまたはGDMのみ)、およびパスワードを暗号化するためのアルゴリズムを選択します。およびは、ローカルユーザにのみ適用されます。では、設定の概要とクライアントを設定するオプションが提供されます。高度なクライアント設定も、このモジュールを使用して実行できます。設定を承認すると、設定の概要に戻ります。設定モジュールを終了することなく、すべての変更を保存したい場合は、をクリックします。
グループを作成および編集するには、を選択するか、ユーザ管理モジュールのをクリックします。どちらのダイアログも、グループの作成、編集、削除という同じ機能を提供します。
モジュールでは、すべてのグループの概要が表示されます。ユーザ管理ダイアログのように、をクリックしてフィルタ設定を変更できます。
グループを追加するには、をクリックし、適切なデータを入力します。リストから対応するボックスにチェックを入れてグループメンバを選択します。をクリックすると、グループが作成されます。グループを編集するには、リストから編集するグループを選択し、をクリックします。必要な変更を加え、を使用して変更を保存します。グループを削除するには、リストからグループを選択し、をクリックします。
をクリックすると、高度なグループ管理ができます。これらのオプションの詳細については、2.8.1項 「ユーザ管理」を参照してください。
システム全体にセキュリティ設定セットを適用したい場合は、を使用します。設定には、ブート、ログイン、パスワード、ユーザ作成、および権限用のセキュリティが含まれています。SUSE Linuxでは、、およびの、3つの事前設定されたセキュリティセットが提供されます。を使用して、デフォルトを修正します。自分のスキーマを作成するには、を使用します。
詳細またはカスタム設定には次のものが含まれます。
承認される前に、システムによってセキュリティのために新規パスワードの確認を行うには、およびをクリックします。新規作成されたユーザ用に、パスワードの長さの最小限を設定します。パスワードを有効とする期限、またユーザがテキストコンソールにログインしたときに発行する期限切れの警告を、期限切れの何日前に表示するかを定義します。
キーの組み合わせCtrl-Alt-Delを使用して、どのようなアクションを実行するかを設定します。通常、この組み合わせが、テキストコンソールに入力されると、システムは再起動されます。使用中のマシンまたはサーバが、誰でも触ることができる場所にあり、誰かが承認なしにこのアクションを行う恐れがない限り、この変更を行わないでください。を選択すると、このキーの組み合わせを押すとシステムがシャットダウンします。を選択すると、このキーの組み合わせは無視されます。
KDEログインマネージャ(KDM)を使用する場合は、でシステムをシャットダウンする権限を設定します。(システム管理者)、、またはに権限を与えます。が選択された場合、システムはテキストコンソール経由からのみシャットダウンできます。
一般的に、ログイン試行が失敗した後、数秒待ってから、再度ログインが可能になります。これによりパスワードスニファのログインはさらに難しくなります。必要に応じて、とを有効化します。誰かがパスワードを見破ろうとしている可能性がある場合、/var/logにあるシステムログファイルのエントリを確認します。あるユーザのグラフィカルログイン画面に、ネットワーク経由で別のユーザがアクセスできるようにするには、を有効化します。このアクセス手段には潜在的なセキュリティリスクがあるため、デフォルトでは無効になっています。
すべてのユーザに数値とアルファベットで構成されたユーザIDが割り当てられます。これらの相関関係は、/etc/passwdファイルを介して確立され、可能な限り一意的である必要があります。この画面のデータを使用して、新しいユーザを追加するときに、ユーザIDの数値部分に割り当てる数字の範囲を定義します。ユーザには最低500が適切です。自動生成されるシステムユーザは1000から始まります。グループID設定も同じ方法で設定します。
事前定義されたファイルのパーミッション設定を使用するには、、またはを選択します。ほとんどのユーザには、で十分です。設定は非常に制約が強く、カスタム設定用には操作の基本レベルしか設定できません。を選択する場合、一部のプログラムは適切に動作しないか、まったく動作しない可能性があります。これは、ユーザが特定のファイルへのアクセス権を失うためです。
インストールされている場合は、どのユーザがupdatedbプログラムを起動するかも設定します。このプログラムは、毎日またはブート後に自動的に実行され、コンピュータ上の各ファイルの場所が保存されるデータベース(locatedb)を生成します。を選択する場合、すべてのユーザは、他の(アクセス権のない)ユーザが参照可能なデータベースへのパスのみを参照できます。rootが選択された場合、すべてのローカルファイルにインデックスが付けられます。これは、スーパーユーザであるrootユーザがすべてのディレクトリにアクセスするためです。およびのオプションが、無効化されていることを確認します。これらの設定は、正しく使用されないとセキュリティ上に深刻なリスクを生じる恐れがあるので、上級のユーザのみこれらのボックスにチェックを入れるようにします。システムがクラッシュしても、ある程度システムを制御できるようにするには、をクリックします。
をクリックして、セキュリティ設定を完了します。
SuSEfirewall2は、インターネットからの攻撃に対してマシンを保護します。使用してSuSEfirewall2設定します。SuSEfirewall2の詳細については、4.1項 「マスカレードとファイアウォール」 (↑リファレンス)を参照してください。
![[Tip]](admon/tip.png) | ファイアウォールの自動有効化 |
|---|---|
YaSTは、すべての設定済みネットワークインターフェース上で、適切な設定を使用してファイアウォールを自動的に起動します。カスタム設定を使用してファイアウォールを再設定するか、無効にする場合にのみ、このモジュールを起動します。 | |
| |  | |
| 2.7 AppArmor |  | 2.9 システム |