Kapitel 2. Systemkonfiguration mit YaST / 2.6. Sicherheit und Benutzer | ||||
|---|---|---|---|---|
 | 2.5. Netzwerkdienste | 2.7. System |  | |
Kapitel 2. Systemkonfiguration mit YaST / 2.6. Sicherheit und Benutzer | ||||
|---|---|---|---|---|
| 2.5. Netzwerkdienste | 2.7. System | | |
Eine grundlegende Eigenschaft von Linux ist seine Multi-User-Fähigkeit. Mehrere Benutzer können gleichzeitig und unabhängig voneinander an einem einzigen Linux-System arbeiten. Jeder hat seinen eigenen Benutzer-Account, bestehend aus einem Benutzer- bzw. Login-Namen und einem persönlichen Passwort, mit dem er sich am System anmeldet. Dazu kommt außerdem ein persönliches Home-Verzeichnis, in dem die privaten Dateien und Konfigurationen gespeichert werden.
Nach dem Aufruf dieses Konfigurationsmoduls zeigt Ihnen YaST eine
Übersicht über alle lokalen Benutzer auf dem System. Befinden Sie sich in
einem größeren Netzwerk, können Sie über
alle Systembenutzer (z.B. root)
oder NIS-Benutzer auflisten lassen. Sie können auch benutzerdefinierte
Filtereinstellungen erzeugen. Sie schalten dann nicht mehr zwischen den
einzelnen Benutzergruppen um, sondern können diese beliebig kombinieren. Um
neue Benutzer anzulegen, klicken Sie auf und
füllen in der Maske die entsprechenden Felder aus. Danach darf sich der neue
Benutzer mit seinem Login-Namen und Passwort auf dem Rechner anmelden. Über
die Schaltfläche nehmen Sie weitere
Feineinstellungen für das Benutzerprofil vor. Sie können die
Benutzerkennung, das Heimatverzeichnis und die Standard-Login-Shell manuell
setzen. Darüber hinaus kann der neue Benutzer hier auch bestimmten Gruppen
zugeordnet werden. Die Gültigkeitsdauer des Passworts konfigurieren Sie über
. Alle Einstellungen lassen sich
über die Schaltfläche nachträglich ändern.
Soll ein Benutzer gelöscht werden, selektieren Sie ihn in der Liste und
drücken den Button .
Für die fortgeschrittene Netzwerkadministration haben Sie die Möglichkeit, über die Standardeinstellungen für das Anlegen neuer Benutzer zu definieren. Sie legen die Art der Authentifizierung (NIS, LDAP, Kerberos oder Samba) sowie den Algorithmus für die Passwortverschlüsselung fest. Diese Einstellungen sind vor allem für größere Netzwerke interessant.
Starten Sie das Modul zur Gruppenverwaltung aus dem YaST-Kontrollzentrum oder klicken Sie in der Benutzerverwaltung auf die Checkbox . Beide Masken verfügen über identische Funktionen, allerdings geht es hier um das Anlegen, die Bearbeitung oder das Löschen von Gruppen.
YaST zeigt Ihnen eine Liste aller Gruppen an. Soll eine Gruppe gelöscht werden, klicken Sie diese einfach in der Liste an und wählen Sie dann . Beim und geben Sie in der zugehörigen YaST-Maske den Namen, die Gruppen-ID (gid) und die Mitglieder dieser Gruppe an. Optional könnnen Sie für den Wechsel in diese Gruppe ein Passwort vergeben. Die Filtereinstellungen sind identisch zum Dialog .
Im Modul , das sich in der Kategorie befindet, haben Sie die Wahl zwischen vier Einstellungen: ist für Einzelplatzrechner, ist für Arbeitsplatzrechner mit Netzwerk, und ist für Server mit Netzwerk. kann für eine selbst definierte Konfiguration verwendet werden.
Wenn Sie einen der ersten drei Punkte anwählen, können Sie eine je nach Bedarf vorkonfigurierte Einstellungen für die Systemsicherheit auszwählen. Durch einen Klick auf wird die gewählte Einstellung dann aktiviert. Unter haben Sie auch Zugang zu den einzelnen Optionen, die Sie auf Wunsch verändern können. Wenn Sie wählen, gelangen Sie mit automatisch zu den einzelnen Dialogen, in denen zunächst die bei der Installation voreingestellten Werte eingetragen sind.
Wünschen Sie, dass neue Passwörter vom System geprüft werden, bevor sie übernommen werden, selektieren Sie die beiden Checkboxen und . Legen Sie die Mindest- und Maximallänge des Passworts für neu anzulegende Benutzer fest. Ferner legen Sie die Gültigkeitsdauer des Passworts fest und bestimmen, wie viele Tage vor dessen Ablauf der Benutzer beim Login auf der Textkonsole gewarnt werden soll.
Geben Sie an, wie die Tastenkombination Strg-Alt-Del interpretiert werden soll, indem Sie die entsprechende Aktion angeben. Üblicherweise bewirkt sie auf der Textkonsole einen System-Neustart. Das sollten Sie auch so belassen, es sei denn, Ihr Rechner bzw. Server ist öffentlich zugänglich und Sie befürchten, dass jemand unerlaubt diese Aktion durchführen könnte. Wenn Sie anwählen, bewirkt diese Tastenkombination ein Herunterfahren des Systems, und bei bleibt diese Tastenkombination ganz ohne Wirkung.
Mit geben Sie an, wer das System vom KDE-Display-Manager aus (dem grafischen Anmeldebildschirm von KDE) herunterfahren darf. Dieses Recht kann an (also an den Systemadministrator), , oder vergeben werden. Wenn Sie anwählen, dann kann das System nur noch von der Textkonsole aus heruntergefahren werden.
Üblicherweise gibt es nach einem fehlgeschlagenen Anmeldeversuch eine
Wartezeit von einigen Sekunden, bis eine erneute Anmeldung möglich ist,
um ein automatisiertes Knacken von Passwörtern zu erschweren. Zudem
haben Sie die Möglichkeit, die Punkte und zu aktivieren. Falls Sie also
Verdacht schöpfen, dass jemand versucht, Ihr Passwort herauszufinden,
können Sie die Einträge in den System-Logdateien unter
/var/log kontrollieren. Über die Checkbox
erhalten
andere Benutzer über das Netzwerk Zugriff auf Ihren grafischen
Anmeldebildschirm. Diese Zugriffsmöglichkeit stellt jedoch ein
potentielles Sicherheitsrisiko dar und ist deshalb standardmäßig
inaktiv.
Jeder Benutzer hat eine numerische und eine alphanumerische
Benutzerkennung. Die Zuordnung zwischen beiden erfolgt durch die Datei
/etc/passwd und sollte möglichst eindeutig sein.
Anhand der Daten in dieser Maske können Sie festlegen, welche
Zahlenbereiche für den numerischen Teil der Benutzerkennung verwendet
werden, wenn Sie einen neuen Benutzer anlegen. Das Minimum von 500 für
einen regulären Benutzer ist sinnvoll und sollte nicht unterschritten
werden. Automatisch erzeugte Nummern beginnen bei 1000. Ebenso verfahren
Sie mit den Einstellungen zur Gruppenkennung.
Bei stehen drei Möglichkeiten zur Auswahl: , und . Den meisten Benutzern dürfte Ersteres ausreichen. Der YaST-Hilfetext gibt Ihnen Auskunft über die drei Sicherheitsstufen. Die Einstellung ist extrem restriktiv und kann als Ausgangsbasis für eigene Einstellungen eines Administrators dienen. Wenn Sie auswählen, müssen Sie bei der Verwendung von einzelnen Programmen mit Störungen bzw. Fehlfunktionen rechnen, weil Sie nicht mehr die Rechte haben, auf verschiedene Dateien zuzugreifen.
Außerdem können Sie in diesem Dialog den Benutzer festlegen, der das
Programm updatedb starten soll. Dieses Programm, das
täglich oder nach dem Booten automatisch abläuft, erzeugt eine Datenbank
(locatedb), in welcher der Ort jeder Datei auf Ihrem Rechner gespeichert
wird. Wenn Sie wählen, können Benutzer nur
Pfade in der Datenbank finden, die auch jeder andere (unprivilegierte)
Benutzer sehen würde. Wenn dagegen root gewählt ist, werden alle lokalen
Dateien indiziert, da der Benutzer root als Super-User grundsätzlich zu
allen Verzeichnissen Zugang hat. Zuletzt sollten Sie noch überprüfen, ob
die Option deaktiviert ist (dies ist die Standard-Einstellung).
Mit schließen Sie Ihre Sicherheitskonfiguration ab.
Mit diesem Modul konfigurieren Sie SuSEfirewall2, um Ihren Rechner vor Angriffen aus dem Internet abzuschirmen. Detaillierte Informationen zur Funktionsweise von SuSEfirewall2 finden Sie in Abschnitt 34.1, „Masquerading und Firewall“.
![[Tip]](admon/tip.png) | Automatischer Start der Firewall |
|---|---|
YaST aktiviert die Firewall automatisch für jede konfigurierte Netzwerkschnittstelle mit passenden Einstellungen. Sie brauchen dieses Modul also nur aufzurufen, wenn Sie eigene, über diese Grundkonfiguration hinausgehende Einstellungen vornehmen wollen, oder wenn Sie die Firewall ganz deaktivieren möchten. | |
