文档
 / 12.3. 用户帐户的其他选项
上一页12.2. 管理用户帐户12.4. 更改本地用户的默认设置下一页

用户帐户的其他选项

除了默认用户帐户的设置,SUSEŽ Linux Enterprise Server 还提供了更多选项,如:实施密码策略的选项、使用加密用户主目录的选项或为用户和组定义磁盘定额的选项。

自动登录和无密码登录

如果使用的是 KDE 或 GNOME 桌面环境,则可为特定用户配置自动登录,也能为所有用户配置无密码登录。自动登录使用户在引导时自动登录到桌面环境。一次只能为一位用户激活此功能。无密码登录使所有用户都能在在登录管理器中输入其用户名后登录到系统中。

[Warning]安全风险

在多人可以访问的计算机上启用自动登录无密码登录具有一定的安全性风险。无需身份验证,任何用户都能访问您的系统和数据。如果系统包含机密数据,请勿使用此功能。

如果想激活自动登录或无密码登录,请在 YaST 用户和组管理中通过专家选项+登录设置来访问这些功能。

强制实施密码策略

在有多个用户的系统上,最好至少强制实施基本的密码安全性策略。用户应该定期更改其密码并使用不能轻易识破的可靠密码。对于本地用户,请执行以下操作:

过程 12.3. 配置密码设置

  1. 打开 YaST 用户和组管理对话框并选择用户选项卡。

  2. 选择要更改密码选项的用户并单击编辑

  3. 切换至密码设置选项卡。

  4. 要让用户在下次登录时更改其密码,请激活强制密码更改

  5. 要实施密码转换,请设置相同密码的最大有效天数相同密码的最小有效天数

  6. 要在密码失效前提醒用户对其进行更改,请为密码失效前多少天发出警告设置一个数字。

  7. 要限制密码失效后用户可以登录的时间周期,请更改密码失效后仍可登录的天数中的值。

  8. 也可为密码指定某一失效日期。输入格式为 YYYY-MM-DD失效日期

  9. 有关选项和默认值的更多信息,请单击帮助

  10. 单击确定应用您的更改。

管理加密的用户主目录

要在失窃和硬盘被卸下的情况下保护用户主目录中的数据,可为用户创建加密的用户主目录。这些用户主目录是用 LUKS(Linux 统一密钥设置)加密的,这会为用户生成映像和映像密钥。映像密钥受用户的登录密码保护。用户登录系统时,会装入加密的用户主目录,且该用户可以使用内容。

[Note]指纹读卡器设备和加密的用户主目录

如果想使用指纹读卡器设备,就不得使用加密的用户主目录。否则,登录会失败,因为如果指纹读卡器设备处于活动状态,那么登录时无法进行解密。

使用 YaST 可以为新用户或现有用户创建加密的用户主目录。要对现有用户的用户主目录加密或修改其加密的用户主目录,需要知道该用户的当前登录密码。默认情况下,所有现有用户数据都会复制到新的加密用户主目录中,但是不会从未加密的目录中删除这些数据。

[Warning]安全性限制

对用户主目录加密并不能对其他用户的访问进行高度安全的防御。 如果需要高度安全性,则不应物理共享系统。

请在第 12.2 节 “Using Encrypted Home Directories” (第 12 章 Encrypting Partitions and Files, ↑安全指南)中查找有关加密用户主目录及为了获得更强的安全性而要执行的操作的背景信息。

过程 12.4. 创建加密的用户主目录

  1. 打开 YaST 用户和组管理对话框并单击用户选项卡。

  2. 要对现有用户的用户主目录加密,请选择该用户并单击编辑

    或者,单击添加以创建新的用户帐户并在第一个选项卡上输入适当的用户数据。

  3. 细节选项卡中,激活使用加密用户主目录。使用目录大小 (MB) 指定要为该用户创建的加密映像文件的大小。

  4. 单击确定应用您的设置。

  5. 如果 YaST 提示需要用户的当前登录密码,请输入该密码以继续。

  6. 单击专家选项+立即写入更改,以在不退出该管理对话框的情况下保存所有更改。或单击完成以关闭此管理对话框并保存更改。

过程 12.5. 修改或禁用加密的用户主目录

当然,您也随时可以禁用用户主目录加密或更改映像文件的大小。

  1. 用户视图中打开 YaST 用户和组管理对话框。

  2. 在列表中选择用户并单击编辑

  3. 如果想禁用加密,请切换到细节选项卡并禁用使用加密用户主目录

    如果需要增大或减小该用户的加密映像文件大小,请更改目录大小(以 MB 为单位)

  4. 单击确定应用您的设置。

  5. 如果 YaST 提示需要用户的当前登录密码,请输入该密码以继续。

  6. 单击专家选项+立即写入更改,以在不退出用户和组管理对话框的情况下保存所有更改。或单击完成以关闭此管理对话框并保存更改。

使用指纹身份验证

如果您的系统包含指纹读卡器,那么除了通过登录及密码进行的标准身份验证以外,还可以使用生物特征身份验证。注册指纹后,用户可以通过在指纹读卡器按下手指或输入密码登录系统。

可以在 YaST 中注册指纹。请在第 3 章 Using the Fingerprint Reader (↑安全指南)中查找有关指纹身份验证配置和使用的详细信息。有关支持的设备的列表,请参阅http://reactivated.net/fprint/wiki/Supported_devices

管理定额

为了防止系统容量在没有通知的情况下耗尽,系统管理员可以为用户或组设置定额。可以为一个或多个文件系统定义定额,定额可以限制可使用的磁盘空间量和可在该处创建的 inode(索引记事)数。Inode 是文件系统上储存有关普通文件、目录或其他文件系统对象的基本信息的数据结构。其会储存文件系统对象的所有属性(如:用户和组所有权、读权限、写权限或执行权限),但不会储存文件名和内容。

SUSE Linux Enterprise Server 允许使用定额。通常,软定额定义警告级别,处于该级别时会通知用户他们已接近极限,硬定额定义会拒绝写请求的限制。另外,可以定义宽限间隔,使用户或组可以暂时超出定额一定量。

过程 12.6. 为分区启用定额支持

为了为某些用户和组配置定额,需要先在 YaST 专家分区程序中为相应的分区启用定额支持。

  1. 在 YaST 中,选择系统+分区程序并单击以继续。

  2. 专家分区程序中,选择要启用定额的分区并单击编辑

  3. 单击 Fstab 选项并激活启用定额支持。如果 quota 包尚未安装,当您使用确认相应的消息时就会安装该包。

  4. 确认您的更改,然后离开专家分区程序

过程 12.7. 为用户或组设置定额

现在,您可以为特定用户或组设置软定额或硬定额,并可设置时间周期作为宽限间隔。

  1. 在 YaST 用户和组管理中,选择想要设置定额的用户或组并单击编辑

  2. 插件选项卡中,选择定额条目并单击起动以打开定额配置对话框。

  3. 文件系统中,选择应应用定额的分区。

  4. 大小限制下,限制磁盘空间量。请输入用户或组在此分区上可拥有的大小为 1 KB 的块数。指定软限制硬限制值。

  5. 另外,也可限制用户或组在分区上可拥有的 inode 数。在 Inode 限制中,输入软限制硬限制

  6. 仅当用户或组已超出指定的大小或 inode 软限制时,才能定义宽限间隔。否则,与时间有关的输入字段不会处于激活状态。指定允许用户或组超出以上设置的限制的时间周期。

  7. 单击确定确认您的设置。

  8. 单击专家选项+立即写入更改,以在不退出用户和组管理对话框的情况下保存所有更改。或单击完成以关闭此管理对话框并保存更改。

SUSE Linux Enterprise Server 还随附了命令行工具(如 repquotawarnquota),系统管理员可以使用这些工具控制磁盘用量或向超出定额的用户发送电子邮件通知。使用 quota_nld,管理员也可向 D-BUS 转发与已超出的定额有关的内核消息。有关更多信息,请参阅 repquotawarnquotaquota_nld 手册页(需要 root 的密码)。

上一页12.2. 管理用户帐户起始页12.4. 更改本地用户的默认设置下一页