| SUSE Linux Enterprise Desktop 文档 第 8 章使用 YaST 进行系统配置 / 8.9. 安全性和用户 | ||||
|---|---|---|---|---|
 | 8.8. AppArmor | 8.10. 虚拟化 |  | |
| SUSE Linux Enterprise Desktop 文档 第 8 章使用 YaST 进行系统配置 / 8.9. 安全性和用户 | ||||
|---|---|---|---|---|
| 8.8. AppArmor | 8.10. 虚拟化 | | |
多用户功能是 Linux 的一个基本特点。 因此,多个用户可以相互独立地在同一个 Linux 系统上工作。 每个用户都有一个由登录名标识的用户帐户和一个用于登录系统的个人密码。 所有用户都有自己的主目录,其中储存着他们的个人文件和配置。
使用+创建和编辑用户。 它提供系统中用户的概述,包括:NIS、 LDAP、Samba 和 Kerberos 用户(请求时)。 如果您属于扩展网络,请单击按地理位置列出所有用户。您还可以通过单击来自定义过滤器设置。
![[Tip]](admon/tip.png) | 在不关闭模块的情况下应用配置更改 |
|---|---|
每次需要进行多项配置更改并想避免为每个更改重启动用户和组配置时,请使用在不退出配置模块的情况下保存更改。 | |
要添加新的用户,请如下继续操作:
单击“添加”
为输入必需的数据。如果您不需要为此新用户调整任何其他的详细设置,请继续步骤 5。
要更改用户的 ID、主目录名、默认主目录、组、组成员资格、目录权限或登录 shell,请打开选项卡并更改默认值。
要调整用户的密码失效、长度和失效警告,请使用选项卡。
通过单击写入用户帐户配置。
新用户随后就可以使用创建的登录名和密码登录。
可以将加密用户主目录作为用户帐户的一部分来创建。要为用户创建加密的用户主目录,请执行以下操作:
单击“添加”
为输入必需的数据。
在选项卡中,激活。
单击应用您的设置。
要为现有用户创建加密用户主目录,请执行以下操作:
在列表中选择用户并单击。
在选项卡中,启用。
输入选定用户的密码。
单击应用您的设置。
要禁用用户主目录的加密,请执行以下操作:
在列表中选择用户并单击。
在选项卡中,禁用。
输入选定用户的密码。
单击应用您的设置。
有关加密用户主目录的详细信息,请参阅第 42.2 节 “使用加密的用户主目录”。
![[Warning]](admon/warning.png) | 使用自动登录 |
|---|---|
在任何允许许多人进行物理访问的系统上,使用自动登录功能有潜在的安全风险。访问此系统的任何用户都能操纵系统上的数据。如果系统包含机密数据,请勿使用自动登录功能。 | |
如果您是系统的唯一用户,则可以配置自动登录。它在启动后将用户自动登录到系统。只有一个选定用户可以使用自动登录功能。自动登录仅适用于 KDM 或 GDM。
要激活自动登录,请从用户列表选择用户并单击+。然后选择并单击。
要取消激活此功能,请选择用户并单击+。然后取消选择并单击。
| 允许不用密码登录 |
|---|---|
在任何允许许多人进行物理访问的系统上,使用不用密码登录功能有潜在的安全风险。 访问此系统的任何用户都能操作系统上的数据。 如果系统包含机密数据,请勿使用此功能。 | |
当用户在登录管理器中输入用户名后,不用密码登录会自动将用户登录到系统中。这可用于系统上的多个用户,并且仅适用于 KDM 或 GDM。
要激活此功能,请从用户列表选择用户并单击+。 然后选择并单击。
要取消激活此功能,请从用户列表选择禁用此功能的用户并单击+。 然后取消选中并单击。
如果用户不应能登录到系统但其身份应管理几个与系统相关的任务时,要创建这样的用户,请在创建用户帐户时禁用用户登录。按如下所示继续:
单击“添加”
为输入必需的数据。
选中。
单击应用您的设置。
要为现有用户禁用登录,请执行以下操作:
在列表中选择用户并单击。
选中中的。
单击应用您的设置。
在有多个用户的系统上,最好至少强制实施基本的密码安全性策略。用户应该定期更改其密码并使用不能轻易识破的可靠密码。关于如何强制实施更严格的密码规则的信息,请参考第 8.9.3 节 “本地安全”。要强制实施密码循环,请创建密码失效策略。
要为新用户配置密码失效策略,请执行以下操作:
单击“添加”
在中输入必需的数据。
调整中的值。
单击应用您的设置。
要为现有用户更改密码失效策略,请执行以下操作:
在列表中选择用户并单击。
调整中的值。
单击应用您的设置。
您可以通过指定特定帐户的失效日期来限制该用户帐户的生命周期。以 YYYY-MM-DD 格式指定,并保留用户配置。如果未提供,则用户帐户永不失效。
创建新的本地用户时,YaST 使用几个默认设置。您可以更改这些默认设置来满足要求:
选择+
将更改应用于以下任何项或所有项:
单击应用您的更改。
可使用模块更改与安全性相关的几个其他默认设置。相关信息请参见 第 8.9.3 节 “本地安全”。
![[Note]](admon/note.png) | 注意 |
|---|---|
密码加密中的更改仅适用于本地用户。 | |
SUSE Linux Enterprise 可使用 DES、MD5 或 Blowfish 进行密码加密。 加密方法的默认密码是 Blowfish。如第 3.11.1 节 “系统管理员 “root” 的密码”中所述,加密方法是在系统安装期间设置的。要更改已安装系统中的密码加密方法,请选择+。
如第 3.11.6 节 “用户数”中所述,用户管理方法(如 NIS、LDAP、Kerberos 或 Samba)是在安装期间设置的。要更改已安装系统中的用户鉴定方法,请选择+。 该模块提供配置概述和配置客户机的选项。使用此模块还能够进行高级客户程序配置。
要创建和编辑组,请选择+,或单击用户管理模块中的。 这两个对话框的功能相同,用于创建、编辑或删除组。
此模块提供所有组的概述。 与用户管理对话框相同,可以通过单击来更改过滤器设置。
要添加组,请单击并输入相应的数据。 通过选择对应的框在列表中选择组成员。 单击以创建组。 要编辑组,从列表中选择要编辑的组并单击 。 完成必要的修改后单击 进行保存。 要删除组,请从列表中将其选中,然后单击 。
单击 以进行高级组管理。 有关这些选项的详细信息请参见 第 8.9.1 节 “用户管理”。
要将一组安全设置应用于整个系统,请使用 +。 这些设置包括引导、登录、密码、用户创建和文件权限的安全。 SUSE Linux Enterprise 提供三种预配置的安全集:、和。使用 修改默认设置。 要创建您自己的方案,请使用 。
详细的或自定义的设置包括:
为了使系统在接受新密码之前对其进行安全性检查,请单击 和 。 设置新创建用户的密码的最小长度。 定义密码的有效期间以及提前多少天在用户登录文本控制台时发出密码过期警报。
通过选择所需的操作来设置如何解释组合键 Ctrl-Alt-Del。 通常情况下,在文本控制台中输入这个组合键时会导致系统重引导。 除非您的计算机或服务器是公共访问的,而您又担心有人会在没有授权的情况下执行此操作,否则不要修改此设置。 如果选择 ,这个组合键将关闭系统。 如果选择 ,将忽略此组合键。
如果您使用 KDE 登录管理器 (KDM),请在 中设置关闭系统所需的权限。 可为 (系统管理员)、、 或 提供许可权。 如果选择 ,就只能通过文本控制台关闭系统。
通常情况下,在登录尝试失败后,需要等数秒之后才能尝试再次登录。这样就使密码嗅探器难以登录。还可以选择激活。 如果您怀疑某人试图盗取您的密码,可检查 /var/log 中系统日志文件中的项。 启用 ,可允许其他用户通过网络访问您的图形登录屏幕。 由于这一访问功能具有潜在的安全风险,所以在默认情况下它处于非活动状态。
每个用户都有一个数字用户 ID 和一个字母用户 ID。二者之间的相互关系是使用文件 /etc/passwd 建立起来的,而且应尽可能地保持唯一性。 使用此屏幕中的数据,可定义在添加新用户时指派给用户 ID 的数字部分的数字范围。 对于用户来说,这一数字最小应为 500。 自动生成的系统用户以 1000 开头。以与组 ID 设置相同的方法来继续设置。
要使用预定义的文件权限设置,请选择 、 或 。 容易 就足够了。 高度警惕 如果选择 ,应注意某些程序可能不能正确工作或甚至不能工作,原因是用户不再具有访问某些文件的权限。
还设置了哪个用户应启动 updatedb 程序(如果安装了此程序)。 该程序每天定期自动运行或在引导后自动运行,并生成一个数据库 (locatedb),其中储存着每个文件在您的计算机上的位置。 如果选择 ,则任何用户都只能在数据库中找到任何其他(未授权)用户均可看到的路径。 如果选择 root,则将索引所有本地文件,原因是 root 是超级用户,可以访问所有目录。 请确保取消激活了选项和。 只有高级用户才应考虑使用这些选项,因为若使用错误,这些设置可能会产生严重的安全性风险。 单击 ,则即使在系统崩溃的情况下您也能对系统进行某些控制。
按 以完成安全性配置。
SuSEfirewall2 可以保护您的计算机免受来自因特网的攻击。 用+对其进行设置。 有关 SuSEfirewall2 的详细信息,请参见 第 39 章 伪装和防火墙。
| 自动激活防火墙 |
|---|---|
YaST 会在每个已配置的网络接口上自动启动具有适当设置的防火墙。 只有您希望使用自定义设置重配置防火墙或取消它时,才启动此模块。 | |
