Chapitre 2. Configuration du système avec YaST / 2.6. Sécurité et utilisateurs | ||||
|---|---|---|---|---|
 | 2.5. Services réseau | 2.7. Système |  | |
Chapitre 2. Configuration du système avec YaST / 2.6. Sécurité et utilisateurs | ||||
|---|---|---|---|---|
| 2.5. Services réseau | 2.7. Système | | |
L'une des propriétés fondamentales de Linux est sa fonctionnalité multi-utilisateur qui permet à plusieurs personnes de travailler simultanément mais de manière indépendante sur un seul et même système Linux. Chacun possède son propre compte utilisateur constitué par un nom d'utilisateur ou nom de login et par un mot de passe personnel qui lui permettent de se connecter au système. Chacun a son répertoire personnel dans lequel il stocke ses fichiers privés et enregistre ses configurations.
Après avoir lancé cet outil, YaST met à votre disposition une liste de tous
les utilisateurs locaux qui ont accès au système. Si vous vous trouvez
dans un grand réseau, vous pouvez utiliser l'option pour générer une liste de tous les utilisateurs du
système (par exemple, root) ou des
utilisateurs NIS. Vous avez aussi la possibilité de créer des filtres
personnalisés. Au lieu de passer d'un groupe d'utilisateurs à un autre,
combinez-les à votre convenance. Pour ajouter des utilisateurs, remplissez
les champs correspondants dans le masque suivant. Le nouvel utilisateur pourra
ensuite se connecter à l'ordinateur avec son nom de login et son mot de passe.
L'option vous permet de procéder à une
configuration plus détaillée du profil de l'utilisateur. Il est possible de configurer
manuellement l'ID utilisateur le répertoire personnel et le shell de connexion par
défaut. En outre, il est possible d'assigner l'utilisateur à des groupes déterminés.
La période de validité du mot de passe se configure dans . Tous les paramètres peuvent être modifiés en
cliquant sur le bouton . Pour éliminer un utilisateur,
sélectionnez-le dans la liste et cliquez sur .
Pour l'administration avancée du réseau, vous avez la possibilité de spécifier les options par défaut pour la création de nouveaux utilisateurs dans . Vous définissez le type d'authentification (NIS, LDAP, Kerberos ou Samba) ainsi que l'algorithme utilisé pour le chiffrement du mot de passe. Ces options de configuration sont surtout intéressantes pour les grands réseaux.
Démarrez le module de gestion des groupes du centre de contrôle de YaST ou cliquez sur la case à cocher dans la gestion des utilisateurs. La fonctionnalité des deux masques est identique, permettant la création, la modification et la suppression de groupes.
Pour faciliter la gestion des groupes, YaST met à votre disposition une liste de tous les groupes. Pour éliminer un groupe, cliquez dans la liste sur la ligne correspondante afin que celle-ci apparaisse en bleu foncé puis cliquez sur . Pour et un groupe, entrez, dans le masque correspondant de YaST, les nom, ID de groupe (gid) et utilisateurs de ce groupe. Si vous le souhaitez, vous pouvez également attribuer un mot de passe pour l'entrée dans ce groupe. Les paramètres pour le filtre sont identiques au dialogue .
Le dialogue de démarrage intitulé que vous pouvez invoquer sous , vous donne le choix entre quatre options : le est pour les machines monopostes (préconfiguré), le est pour les stations de travail en réseau (préconfiguré), le est pour les serveurs en réseau (préconfiguré) et la configuration est pour vos propres paramètres.
Si vous avez sélectionné l'une des trois premières options, vous avez la possibilité d'utiliser, pour la sécurité du système, une configuration déjà prédéfinie. Cliquez simplement sur . Sous , vous avez accès aux différentes configurations que vous pouvez modifier selon vos désirs. Si vous sélectionnez la configuration , vous accéderez automatiquement aux différents dialogues après avoir cliqué sur . Vous trouverez ici les valeurs définies lors de l'installation.
Si vous souhaitez que le système vérifie les nouveaux mots de passe avant de les acepter, activez les deux cases à cocher et . Spécifiez la longueur minimale et maximale des mots de passe pour les nouveaux utilisateurs ainsi que la période de validité du mot de passe, sa date d'expiration et préciser combien de jours avant l'expiration l'utilisateur devra en être averti.
Spécifiez ici de quelle manière la combinaison de touches Ctrl-Alt-Delete doit être interprétée en sélectionnant l'action désirée. Sur la console texte, cette combinaison de touches déclenche habituellement un redémarrage du système. Il est en principe préférable de ne rien changer ici à moins que votre machine ou votre serveur ne soit accessible à d'autres utilisateurs et que vous ayez lieu de craindre que quelqu'un puisse effectuer cette action sans autorisation. Si vous sélectionnez , cette combinaison de touches déclenchera un arrêt du système et si vous choisissez , elle ne provoquera plus rien.
Spécifiez également le en attribuant des permissions pour arrêter le système à partir de KDM (KDE Display Manager), le login graphique de KDE. Donnez la permission à (l'administrateur du système), , ou aux . Si vous sélectionnez , le système ne pourra être arrêté qu'à partir de la console texte.
Après une tentative de connexion qui s'est soldée par un échec, on
doit normalement attendre quelques secondes avant de pouvoir recommencer.
Cette règle a pour but de rendre la vie dure aux casseurs de mots de
passe. Vous avez en outre la possibilité d'activer les options
et
. Si vous
soupçonnez que quelqu'un cherche à deviner votre mot de passe, vous
pouvez contrôler les entrées dans les fichiers de traces du système
sous /var/log. Avec l'option , les autres utilisateurs pourront
accéder à l'écran de login graphique à travers le réseau. Cependant,
cette possibilité d'accès représente un risque potentiel pour votre
sécurité et est donc désactivée par défaut.
Chaque utilisateur possède un identificateur numérique et un
identificateur alphanumérique. L'association entre ces deux
identificateurs se fait dans le fichier /etc/passwd
et ne devrait présenter aucune ambiguïté.
Les données affichées ici vous permettent de voir les zones de valeurs
utilisées pour la partie numérique d'un identificateur lorsqu'un
nouveau compte utilisateur est créé. Le minimum fixé à 500 pour un
utilisateur est une valeur raisonnable et devrait être considéré comme
la limite inférieure à ne pas dépasser ; les numéros générés
automatiquement commencent à 1000. Procédez de la même façon
pour la configuration des identificateurs de groupes.
Vous avez trois possibilités de définir la . Vous avez le choix entre , et . Pour la plupart des utilisateurs, la première option est suffisante. Le texte d'aide de YaST vous informe sur ces trois niveaux de sécurité. L'option est extrêmement restrictive et devrait être utilisée par un administrateur système comme base pour une configuration personnalisée. Si vous choisissez , vous devrez vous attendre à des perturbations ou dysfonctionnements lors de l'exécution de certains programmes car vous n'avez plus les droits nécessaires pour accéder à différents fichiers.
Dans ce dialogue, vous pouvez en outre déterminer
l'utilisateur qui devra lancer le programme updatedb.
Ce programme qui est exécuté automatiquement tous les jours ou après
chaque amorçage génère une base de données (locatedb) dans laquelle est
enregistré l'emplacement de chaque fichier. Si vous sélectionnez
, il ne sera possible de trouver dans la base
de données que les chemins d'accès que n'importe quel utilisateur (sans
privilège) pourrait voir. Si vous sélectionnez root, tous les fichiers locaux seront
indexés puisque l'utilisateur root
est autorisé, en tant que super-utilisateur, à lister tous les répertoires.
Enfin, assurez-vous que l'option est désactivée (par défaut).
En cliquant sur , vous achèverez la configuration des paramètres de sécurité de votre système.
Ce module vous permet de mettre en place et de configurer de façon très simple le pare-feu SuSEfirewall2 pour protéger votre système des intrus venant d'Internet. Vous trouverez des informations détaillées relatives à SuSEfirewall2 dans Section 34.1, « Masquage et pare-feu ».
![[Tip]](admon/tip.png) | Démarrage automatique du pare-feu |
|---|---|
Sur chaque interface réseau configurée, YaST démarre automatiquement un pare-feu avec les paramètres appropriés. Vous n'avez donc besoin de ce module que si vous souhaitez procéder à une configuration plus avancée du pare-feu ou si vous souhaitez le désactiver complètement. | |
