Neben den Einstellungen für ein Standardbenutzerkonto bietet openSUSE® weitere Optionen, beispielsweise Optionen zur Durchsetzung von Passwortrichtlinien, Verwendung von verschlüsselten Home-Verzeichnissen oder Definition von Festplattenquoten für Benutzer und Gruppen.
Wenn Sie in der KDE- oder GNOME-Desktop-Umgebung arbeiten, können Sie die Automatische Anmeldung für einen bestimmten Benutzer sowie die Anmeldung ohne Passwort für sämtliche Benutzer konfigurieren. Mit der Option für die automatische Anmeldung wird ein Benutzer beim Booten automatisch in der Desktop-Umgebung angemeldet. Diese Funktion kann nur für jeweils einen Benutzer aktiviert werden. Mit der Option für die Anmeldung ohne Passwort können sich sämtliche Benutzer beim System anmelden, nachdem sie ihren Benutzernamen im Anmeldemanager eingegeben haben.
ACHTUNG: Sicherheitsrisiko
Die Aktivierung der automatischen Anmeldung bzw. der Anmeldung ohne Passwort ist auf einem Computer, zu dem mehrere Personen Zugang haben, ein Sicherheitsrisiko. Wenn keine Authentifizierung erforderlich ist, erhält jeder Benutzer Zugriff auf Ihr System und Ihre Daten. Verwenden Sie diese Funktion nicht, wenn Ihr System vertrauliche Daten enthält.
Zur Aktivierung der automatischen Anmeldung oder der Anmeldung ohne Passwort greifen Sie auf diese Funktionen in der
von YaST über die zu.Bei einem System mit mehreren Benutzern ist es ratsam, mindestens grundlegende Sicherheitsrichtlinien für Passwörter zu erzwingen. Die Benutzer sollten ihre Passwörter regelmäßig ändern und starke Passwörter verwenden, die nicht so leicht herausgefunden werden können. Gehen Sie bei lokalen Benutzern wie folgt vor:
Öffnen Sie in YaST das Dialogfeld
und klicken Sie dort auf den Karteireiter .Wählen Sie den Benutzer aus, dessen Passworteinstellungen Sie ändern möchten, und klicken Sie auf
.Öffnen Sie den Karteireiter
.Aktivieren Sie
, um zu erzwingen, dass der Benutzer sein Passwort bei der nächsten Anmeldung ändert.Legen Sie zur Erzwingung einer regelmäßigen Passwortänderung eine
und eine fest.Legen Sie unter
eine bestimmte Anzahl von Tagen fest, um den Benutzer vor Ablauf seines Passworts an die Passwortänderung zu erinnern.Legen Sie unter
eine bestimmte Anzahl von Tagen fest, um den Zeitraum einzuschränken, innerhalb dem sich der Benutzer trotz abgelaufenem Passwort anmelden kann.Sie können für ein Passwort auch ein bestimmtes Ablaufdatum festlegen. Das JJJJ-MM-TT eingegeben werden.
muss im FormatWeitere Informationen zu den einzelnen Optionen und deren Standardwerten erhalten Sie über die Schaltfläche
.Übernehmen Sie die Änderungen mit
.Um Datendiebstahl in Home-Verzeichnissen und die Entfernung der Festplatte zu unterbinden, können Sie verschlüsselte Home-Verzeichnisse für Benutzer erstellen. Sie werden mit LUKS (Linux Unified Key Setup) verschlüsselt. Dabei werden ein Image und ein Image-Schlüssel für die Benutzer erstellt. Der Image-Schlüssel ist durch das Anmeldepasswort des Benutzers geschützt. Wenn sich der Benutzer am System anmeldet, wird das verschlüsselte Home-Verzeichnis eingehängt und die Inhalte werden für den Benutzer verfügbar gemacht.
HINWEIS: Fingerabdruck-Lesegeräte und verschlüsselte Home-Verzeichnisse
Wenn Sie ein Fingerabdruck-Lesegerät verwenden möchten, dürfen Sie keine verschlüsselten Home-Verzeichnisse verwenden.Andernfalls schlägt die Anmeldung fehl, da eine Entschlüsselung während der Anmeldung in Kombination mit einem aktiven Fingerabdruck-Lesegerät nicht möglich ist.
Mit YaST können Sie verschlüsselte Home-Verzeichnisse für neue oder vorhandene Benutzer erstellen. Um verschlüsselte Home-Verzeichnisse von bereits vorhandenen Benutzern zu verschlüsseln oder zu bearbeiten, müssen Sie das aktuelle Anmeldepasswort des Benutzers eingeben. Standardmäßig werden sämtliche vorhandenen Benutzerdaten in das neue verschlüsselte Home-Verzeichnis kopiert, im unverschlüsselten Verzeichnis jedoch nicht gelöscht.
ACHTUNG: Sicherheitsbeschränkungen
Das Verschlüsseln des Home-Verzeichnisses eines Benutzers bietet keinen umfassenden Schutz vor anderen Benutzern. Wenn Sie einen umfassenden Schutz benötigen, sollten nicht mehrere Benutzer an einem Rechner arbeiten.
Hintergrundinformationen zu verschlüsselten Home-Verzeichnissen und zu den Aktionen zum Erreichen einer höheren Sicherheit finden Sie in Abschnitt 11.2, Using Encrypted Home Directories,
(↑ Security Guide ).
Öffnen Sie in YaST das Dialogfeld
und klicken Sie dort auf den Karteireiter .Wenn Sie das Home-Verzeichnis eines vorhandenen Benutzers verschlüsseln möchten, wählen Sie den Benutzer aus und klicken Sie auf
.Anderenfalls klicken Sie auf
, um ein neues Benutzerkonto zu erstellen und geben Sie auf dem ersten Karteireiter die entsprechenden Benutzerdaten ein.Aktivieren Sie auf dem Karteireiter
die Option . Geben Sie unter die Größe der verschlüsselten Imagedatei an, die für diesen Benutzer erstellt werden soll.Übernehmen Sie die Einstellungen mit
.Geben Sie das aktuelle Anmeldepasswort des Benutzers ein, um an der Eingabeaufforderung von YaST fortzufahren.
Klicken Sie auf
, um alle Änderungen zu speichern, ohne das Verwaltungsdialogfeld zu schließen. Alternativ können Sie auf klicken, um das Verwaltungsdialogfeld zu schließen und die Änderungen zu speichern.Selbstverständlich besteht jederzeit die Möglichkeit, die Verschlüsselung eines Home-Verzeichnisses zu deaktivieren bzw. die Größe der Imagedatei zu ändern.
Öffnen Sie das YaST-Dialogfeld
in der Ansicht .Wählen Sie einen Benutzer aus der Liste aus und klicken Sie auf
.Wenn Sie die Verschlüsselung deaktivieren möchten, wechseln Sie zum Karteireiter
und deaktivieren Sie .Wenn Sie die Größe der verschlüsselten Imagedatei für diesen Benutzer ändern müssen, ändern Sie den Wert in
.Übernehmen Sie die Einstellungen mit
.Geben Sie das aktuelle Anmeldepasswort des Benutzers ein, um an der Eingabeaufforderung von YaST fortzufahren.
Klicken Sie auf
, um alle Änderungen zu speichern, ohne das Dialogfeld zu schließen. Alternativ können Sie auf klicken, um das Verwaltungsdialogfeld zu schließen und die Änderungen zu speichern.Wenn Ihr System einen Fingerabdruckleser enthält, können Sie die biometrische Authentifizierung zusätzlich zur Standardauthentifizierung über Benutzername und Passwort verwenden. Nachdem ihr Fingerabdruck registriert wurde, können sich die Benutzer beim System anmelden, indem sie entweder einen Finger über das Fingerabdruck-Lesegerät ziehen oder ein Passwort eingeben.
Fingerabdrücke können in YaST registriert werden. Ausführliche Informationen zur Konfiguration und Verwendung der Authentifizierung per Fingerabdruck finden Sie unter Abschnitt 7.0, Using the Fingerprint Reader,
(↑ Security Guide ). Eine umfassende Liste mit unterstützten Hardwaregeräten finden Sie unter http://reactivated.net/fprint/wiki/Supported_devices.
Um zu verhindern, dass die Systemkapazität ohne Benachrichtigung zur Neige geht, können Systemadministratoren Quoten für Benutzer oder Gruppen einrichten. Quoten können für ein oder mehrere Dateisysteme definiert werden und beschränken den Speicherplatz, der verwendet werden kann, sowie die Anzahl der Inodes (Index-Knoten), die hier erstellt werden können. Inodes sind Datenstrukturen eines Dateisystems, die grundlegende Informationen über normale Datei-, Verzeichnis- oder andere Dateisystemobjekte speichern. Sie speichern alle Attribute eines Dateisystemobjekts (z. B. Eigentümer des Objekts und Berechtigungen wie Lesen, Schreiben oder Ausführen), mit Ausnahme des Dateinamens und des Dateiinhalts.
In openSUSE können Quoten vom Typ Soft und Hard verwendet werden. Mit Softquoten wird im Normalfall eine Warnstufe definiert, bei der Benutzer darüber informiert werden, dass ihr Limit nahezu erreicht ist. Mit Hardquoten hingegen wird das Limit definiert, bei dem Schreibanforderungen verweigert werden. Zusätzlich können Kulanzintervalle definiert werden, damit Benutzer oder Gruppen ihre Quoten vorübergehend um bestimmte Werte überschreiten können.
Wenn Sie Quoten für bestimmte Benutzer und Gruppen konfigurieren möchten, müssen Sie zunächst in YaST im Dialogfeld 'Festplatte vorbereiten: Expertenmodus' die Quotenunterstützung für die entsprechende Partition aktivieren.
Wählen Sie in YaST die Optionsfolge
und klicken Sie dann auf , um fortzufahren.Wählen Sie unter
die Partition, für die Sie Quoten aktivieren möchten, und klicken Sie dann auf .Klicken Sie auf quota noch nicht installiert ist, wird es automatisch installiert, sobald Sie die entsprechende Meldung mit bestätigen.
und aktivieren Sie die Option zur Aktivierung der Quotenunterstützung. Falls das PaketBestätigen Sie Ihre Änderungen und beenden Sie
.Nun können Sie für spezifische Benutzer oder Gruppen Soft- bzw. Hardquoten definieren und Zeiträume als Kulanzintervalle festlegen.
Wählen Sie in YaST im Dialogfeld
den Benutzer bzw. die Gruppe aus, für den/die Sie Quoten festlegen möchten, und klicken Sie dann auf .Wählen Sie auf dem Karteireiter
den Quoteneintrag aus und klicken Sie dann auf , um das Dialogfeld für die Quotenkonfiguration zu öffnen.Wählen Sie unter
die Partition aus, auf die Quote angewendet werden soll.Beschränken Sie im Bereich
den Speicherplatz. Geben Sie die Anzahl der 1-KB-Blöcke an, über die der Benutzer bzw. die Gruppe auf dieser Partition verfügen kann. Geben Sie einen Wert für und einen für an.Zudem können Sie die Anzahl der Inodes beschränken, über die der Benutzer bzw. die Gruppe auf der Partition verfügen kann. Geben Sie im Bereich für die Inodes-Limits ein
und ein ein.Kulanzintervalle können nur definiert werden, wenn der Benutzer bzw. die Gruppe das für die Größe bzw. die Inodes festgelegte Softlimit bereits überschritten hat. Anderenfalls sind die zeitbezogenen Eingabefelder nicht aktiviert. Geben Sie den Zeitraum an, für den der Benutzer bzw. die Gruppe die oben festgelegten Limits überschreiten darf.
Bestätigen Sie die Einstellungen mit
.Klicken Sie auf
, um alle Änderungen zu speichern, ohne das Dialogfeld zu schließen. Alternativ können Sie auf klicken, um das Verwaltungsdialogfeld zu schließen und die Änderungen zu speichern.openSUSE bietet auch Kommandozeilenprogramme wie repquota oder warnquota, mit denen Systemadministratoren die Festplattenauslastung kontrollieren oder E-Mail-Benachrichtigungen an Benutzer senden können, die Ihre Speicherquoten überschreiten. Mit quota_nld können Administratoren auch Kernel-Meldungen über überschrittene Speicherquoten an D-BUS weiterleiten. Weitere Informationen finden Sie auf der man-Seite zu repquota, warnquota und quota_nld (Sie benötigen hierfür das root-Passwort).