SUSE Linux Enterprise Desktop dokumentáció
8. fejezet - Rendszerkonfiguráció a YaST használatával / 8.9. Biztonság és felhasználók
Előző8.8. AppArmor8.10. VirtualizációKövetkező

Biztonság és felhasználókBiztonság és felhasználók

A Linuxnak alapvető jellemzője a többfelhasználós működés. Ebből következően ugyanazon a Linux-rendszeren egyszerre több felhasználó is dolgozhat egymástól függetlenül. Minden felhasználónak van egy felhasználói fiókja, amelyet egy bejelentkezési név azonosít, és az ahhoz tartozó személyes jelszó. Minden felhasználónak saját könyvtára van, ahol a saját fájljai és beállításai tárolódnak.

Felhasználói adminisztrációFelhasználói adminisztráció

A felhasználók létrehozásához és módosításához használja a Biztonság és felhasználók+Felhasználókezelés modult. A modul felsorolja a rendszer összes felhasználóját, igény esetén a NIS-, LDAP-, Samba- és Kerberos-felhasználókat is. Nagy hálózatban dolgozva kattintson a Szűrő beállítása gombra az összes felhasználó kategóriák szerint szűrt megjelenítéséhez. A szűrő beállításainak testreszabásához kattintson az Egyéni szűrő gombra.

[Tip]A konfiguráció módosításainak érvényesítése a modul bezárása nélkül

Ha több beállítást is módosítani kíván, de nem akarja mindegyikük után újraindítani a felhasználó- és csoportbeállítási modult, akkor használja a Változtatások mentése most parancsot a módosítások kiírásához a beállítási modulból kilépés nélkül.

Felhasználók hozzáadásaFelhasználók hozzáadása

Egy új felhasználó hozzáadása:

  1. Kattintson a Hozzáadás gombra.

  2. Adja meg a szükséges adatokat a Felhasználói adatok részben. Ha nincs szükség az adott új felhasználóhoz további részletes beállítások megadására, folytassa a Lépés 5 résszel.

  3. Egy felhasználó azonosítójának, sajátkönyvtár-nevének, az alapértelmezett saját könyvtárnak, csoportjának, csoporttagságának, könyvtárjogosultságainak és bejelentkezési parancsértelmezőjének módosításához lépjen át a Részletek lapra és módosítsa az alapértelmezett értékeket.

  4. A felhasználó jelszavának lejárata, hossza és a lejárattal kapcsolatos figyelmeztetések a Jelszóbeállítások lapon módosíthatók.

  5. Ha kész, írja ki a felhasználói fiók beállításait az Elfogadás paranccsal.

Az új felhasználó azonnal bejelentkezhet a gépre az új nevével és jelszavával

Felhasználók törléseFelhasználók törlése

Egy felhasználó törlésének módja:

  1. Válassza ki a felhasználót a listából.

  2. Kattintson a Törlés gombra.

  3. Adja meg, hogy törölni vagy megtartani kívánja a felhasználó saját könyvtárát.

  4. A beállítások alkalmazásához kattintson az Igen gombra.

Bejelentkezési beállításokBejelentkezési beállítások

A bejelentkezési beállítások módosítása:

  1. Válassza ki a felhasználót a listából.

  2. Kattintson a Szerkesztés gombra.

  3. Módosítsa a Felhasználó adatai, Részletek és Jelszóbeállítások lapok beállításait.

  4. Mentse el a felhasználói fiók beállításait az Elfogadás gombra kattintva.

Titkosított saját könyvtárak kezeléseTitkosított saját könyvtárak kezelése

A felhasználói fiók létrehozása közben létrehozhat titkosított saját könyvtárat is. Titkosított saját könyvtár készítése egy felhasználó számára:

  1. Kattintson a Hozzáadás gombra.

  2. Adja meg a szükséges adatokat a Felhasználó adatai lapon.

  3. A Részletek lapon jelölje meg a Titkosított saját könyvtár használata pontot.

  4. Érvényesítse a beállításokat az Elfogadás gombbal.

Titkosított saját könyvtár készíthető egy már létező felhasználó számára is:

  1. Válassza ki a felhasználót a listából, majd kattintson a Szerkesztés gombra.

  2. A Részletek lapon jelölje meg a Titkosított saját könyvtár használata pontot.

  3. Adja meg a kiválasztott felhasználó jelszavát.

  4. Érvényesítse a beállításokat az Elfogadás gombbal.

A saját könyvtárak titkosításának megszüntetése:

  1. Válassza ki a felhasználót a listából, majd kattintson a Szerkesztés gombra.

  2. A Részletek lapon törölje a Titkosított saját könyvtár használata pontot.

  3. Adja meg a kiválasztott felhasználó jelszavát.

  4. Érvényesítse a beállításokat az Elfogadás gombbal.

További információ a titkosított saját könyvtárakról: 42.2. szakasz - Titkosított saját könyvtárak használata.

Automatikus bejelentkezésAutomatikus bejelentkezés

[Warning]Az automatikus bejelentkezés használata

Az automatikus bejelentkezési funkció használata minden olyan rendszeren, amelyet fizikailag egynél több ember is elér, potenciális biztonsági rést jelent. Bármely felhasználó, aki eléri a rendszert, manipulálhatja majd rajta az adatokat. Ha a rendszeren bizalmas adatok is találhatók, akkor ne használja az automatikus bejelentkezési funkciót.

Ha Ön az egyetlen felhasználó a rendszeren, akkor beállíthatja az automatikus bejelentkezést. Ez a funkció induláskor automatikusan bejelentkezteti a felhasználót a rendszerbe. Csak egy kijelölt felhasználó használhatja az automatikus bejelentkezési funkciót. Az automatikus bejelentkezés csak a KDM vagy GDM környezetekkel működik együtt.

Az automatikus bejelentkezés bekapcsolásához válassza ki a felhasználót a felhasználók listájából, majd kattintson a Szakértői beállítások+Bejelentkezési beállítások menüpontra. Ezután válassza ki az Automatikus bejelentkezés pontot, majd kattintson az OK gombra.

A funkció kikapcsolásához válassza ki a felhasználót a felhasználók listájából, majd kattintson a Szakértői beállítások+Bejelentkezési beállítások menüpontra. Ezután törölje az Automatikus bejelentkezés jelölését, majd kattintson az OK gombra.

Bejelentkezés jelszó nélkülBejelentkezés jelszó nélkül

[Warning]Jelszó nélküli bejelentkezés engedélyezése

A jelszó nélküli bejelentkezési funkció használata minden olyan rendszeren, amelyet fizikailag egynél több ember is elér, potenciális biztonsági rést jelent. Bármely felhasználó, aki eléri a rendszert, manipulálhatja majd rajta az adatokat. Ha a rendszeren bizalmas adatok is találhatók, akkor ne használja az automatikus bejelentkezési funkciót.

A jelszó nélküli bejelentkezés funkció automatikusan bejelentkezteti a felhasználót a rendszerbe, miután a felhasználó megadta a felhasználónevét a bejelentkezéskezelőben. Ez a rendszer több felhasználója számára is bekapcsolható, de csak a KDM vagy GDM környezetek használata esetén.

A funkció bekapcsolásához válassza ki a felhasználót a felhasználók listájából, majd kattintson a Szakértői beállítások+Bejelentkezési beállítások menüpontra. Ezután jelölje meg a Jelszó nélküli bejelentkezés pontot, majd kattintson az OK gombra.

A funkció kikapcsolásához válassza ki a felhasználót (akinek kikapcsolja a funkciót) a felhasználók listájából, majd kattintson a Szakértői beállítások+Bejelentkezési beállítások menüpontra. Ezután törölje a Jelszó nélküli bejelentkezés pontot, majd kattintson az OK gombra.

A felhasználó bejelentkezés letiltásaA felhasználó bejelentkezés letiltása

Ha olyan rendszerfelhasználót kíván létrehozni, akinek nem szabad tudnia bejelentkeznie a rendszerbe, de amely azonosság alatt különféle, a rendszerrel kapcsolatos feladatok felügyelete történik, tiltsa le a felhasználó bejelentkezését, amikor létrehozza a felhasználói fiókot. A következő műveleteket hajtsa végre:

  1. Kattintson a Hozzáadás gombra.

  2. Adja meg a szükséges adatokat a Felhasználó adatai lapon.

  3. Jelölje meg a Felhasználó bejelentkezésének tiltása négyzetet.

  4. Érvényesítse a beállításokat az Elfogadás gombbal.

Egy meglévő felhasználó bejelentkezésének tiltása:

  1. Válassza ki a felhasználót a listából, majd kattintson a Szerkesztés gombra.

  2. Jelölje meg a Felhasználó bejelentkezésének tiltása pontot aFelhasználó adatai lapon.

  3. Érvényesítse a beállításokat az Elfogadás gombbal.

Jelszóirányelvek érvényesítéseJelszóirányelvek érvényesítése

Minden olyan rendszeren, amelyet egynél többen használnak, jó ötlet legalább minimális szintű jelszóbiztonsági irányelvek alkalmazása. A felhasználóknak rendszeresen kelljen módosítaniuk jelszavaikat és ne használhassanak könnyen feltörhető, egyszerű jelszavakat. A szigorúbb jelszószabályokkal kapcsolatos információ: 8.9.3. szakasz - Helyi biztonsági beállítások . A jelszavak rotációjának előírásához hozzon létre egy jelszólejárati irányelvet.

Jelszólejárati irányelv beállítása egy újonnan létrehozott felhasználóhoz:

  1. Kattintson a Hozzáadás gombra.

  2. Adja meg a szükséges adatokat a Felhasználó adatai lapon.

  3. Módosítsa a Jelszóbeállítások oldalon a kívánt értékeket.

  4. Érvényesítse a beállításokat az Elfogadás gombbal.

Jelszólejárati irányelv módosítása egy már létező felhasználó esetében:

  1. Válassza ki a felhasználót a listából, majd kattintson a Szerkesztés gombra.

  2. Módosítsa a Jelszóbeállítások oldalon a kívánt értékeket.

  3. Érvényesítse a beállításokat az Elfogadás gombbal.

Bármely felhasználói fiók élettartama korlátozható, ha megad egy lejárati dátumot az adott fiókhoz. Adja meg a Lejárati időt ÉÉÉÉ-HH-NN formátumban és lépjen ki a felhasználói beállításokból. Ha nincs megadva Lejárati idő, akkor a felhasználói fiók soha nem jár le.

Az új felhasználók alapértelmezett beállításainak módosításaAz új felhasználók alapértelmezett beállításainak módosítása

Új helyi felhasználók létrehozásakor a YaST számos alapértelmezett beállítást használ. Ezek az alapértelmezett beállítások szabadon módosíthatók az igényeknek megfelelően:

  1. Válassza ki a Szakértői beállítások+Új felhasználók alapértelmezett beállításai pontot.

  2. Az alábbi részeket módosíthatja:

    • Alapértelmezett csoport

    • Másodlagos csoportok

    • Alapértelmezett bejelentkezési parancsértelmező

    • Útvonalelőtag a saját könyvtárhoz

    • Sablon a saját könyvtár elkészítéséhez

    • Saját könyvtár umaskja

    • Alapértelmezett lejárati dátum

    • Bejelentkezés engedélyezése a jelszó lejárata után

  3. Érvényesítse a beállításokat az Elfogadás gombbal.

A Helyi biztonság modulban számos egyéb, a biztonsággal kapcsolatos alapértelmezett beállítás is módosítható. További információ: 8.9.3. szakasz - Helyi biztonsági beállítások .

A jelszótitkosítás megváltoztatásaA jelszótitkosítás megváltoztatása

[Note]

A jelszótitkosítás megváltoztatása csak a helyi felhasználókra vonatkozik.

A SUSE Linux Enterprise DES, MD5 és Blowfish algoritmusokat képes használni a jelszavak titkosításához. Az alapértelmezett jelszótitkosítási mód a Blowfish. A titkosítási módot a rendszer telepítése során kell megadni (3.11.1. szakasz - A rendszergazda („root”) jelszava). A telepített rendszer jelszótitkosítási módjának megváltoztatásához válassza ki a Szakértői beállítások+Jelszótitkosítás modult.

A hitelesítési és felhasználóforrások módosításaA hitelesítési és felhasználóforrások módosítása

A felhasználók adminisztrációjának módja (vagyis NIS, LDAP, Kerberos vagy Samba) a telepítés során kerül beállításra (3.11.6. szakasz - Felhasználók). A telepített rendszer felhasználóhitelesítési módjának megváltoztatásához válassza ki a Szakértői beállítások+Hitelesítési és felhasználói adatforrások menüpontot. Ez a modul áttekintést nyújt a beállításokról és lehetővé teszi a kliens beállítását. A modullal szakértői klienskonfiguráció is végezhető.

CsoportkezelésCsoportkezelés

Csoportok létrehozásához és szerkesztéséhez válassza ki a Biztonság és felhasználók+Csoportok kezelése menüpontot, vagy kattintson a Csoportok lehetőségre a felhasználóadminisztrációs modulban. Mindkét ablak ugyanazokat a funkciókat kínálja, vagyis csoportok létrehozását, módosítását és törlését.

A modul felsorolja az összes csoportot. Ugyanúgy, mint a felhasználókezelési ablakban, itt is lehet módosítani a szűrő beállításain a Szűrő beállítása gombra kattintva.

Egy csoport hozzáadásához kattintson a Hozzáadás gombra, majd adja meg a szükséges adatokat. A megfelelő négyzetek megjelölésével válassza ki a csoporttagokat a listából. A csoport létrehozásához kattintson az Elfogadás gombra. Egy csoport módosításához válassza azt ki a listából, majd kattintson a Szerkesztés gombra. A szükséges módosítások elvégzése után mentse el őket a Elfogadás gombra kattintva. Egy csoport törléséhez válassza ki azt a listából, majd kattintson a Törlés gombra.

A csoportokkal kapcsolatos speciális beállítások megadásához kattintson a Szakértői beállítások gombra. Mindezen lehetőségekről további információ: 8.9.1. szakasz - Felhasználói adminisztráció.

Helyi biztonsági beállítások Helyi biztonsági beállítások

A teljes rendszerre vonatkozó biztonsági beállítások megadására a Biztonság és felhasználók+Helyi biztonsági beállítások modul használható. Ezek a beállítások a rendszerindítással, a bejelentkezéssel, a jelszavakkal, a felhasználók létrehozásával és a fájljogosultságokkal kapcsolatos biztonsági beállítások. A SUSE Linux Enterprise három előre beállított biztonsági halmazt kínál: Otthoni munkaállomás, Hálózati munkaállomás és Hálózati kiszolgáló. Az alapértelmezett értékek módosításához lépjen be a Részletek közé. Saját séma készítéséhez válassza az Egyedi beállítások pontot.

A részletes vagy egyedi beállítások az alábbiak:

Jelszóbeállítások

Ahhoz, hogy az új jelszavakat a rendszer leellenőrizze az elfogadásuk előtt, jelölje meg az Új jelszavak ellenőrzése és a Jelszó elfogadhatóságának ellenőrzése lehetőségeket. Állítsa be az újonnan létrehozott felhasználók jelszavának minimális hosszát. Adja meg, hogy meddig legyen érvényes egy jelszó, és hogy hány nappal előtte kapjon a felhasználó lejárati figyelmeztetést a szöveges konzolba belépéskor.

Rendszerindítási beállítások

A kívánt művelet kiválasztásával adja meg, hogyan értelmezze a rendszer a Ctrl-Alt-Del billentyűkombinációt. Ez a kombináció egy szöveges konzolban beírva általában a rendszer újraindítását eredményezi. Ne módosítsa ezt a beállítást, hacsak a gép vagy szerver nem nyilvánosan elérhető, és attól tart, hogy valaki felhatalmazás nélkül végrehajtja ezt a műveletet. Ha a Leállítás lehetőséget választja, akkor a billentyűkombináció a rendszer kikapcsolását eredményezi. A Figyelmen kívül hagyás hatására a rendszer figyelmen kívül hagyja a billentyűkombinációt.

Ha a KDE bejelentkezéskezelőjét (a KDM-et) használja, akkor állítsa be a KDM leállításkori viselkedése részben a szükséges engedélyeket a rendszer leállításához. Adjon Csak root (csak a rendszergazda számára), Minden felhasználó, Senki vagy Helyi felhasználók jogosultságot. A Senki kiválasztása esetén a rendszer csak a szöveges konzolból állítható le.

Bejelentkezési beállítások

Egy meghiúsult bejelentkezési kísérlet után általában várni kell egy pár másodpercet, mielőtt a rendszer ismét lehetőséget adna a bejelentkezésre. Ez sokkal nehezebbé teszi a jelszótolvajok bejelentkezését. Ha kívánja, jelölje meg a Sikeres bejelentkezések naplózása lehetőséget. Ha azt gyanítja, hogy valaki megpróbálja kideríteni a jelszavát, keresse meg a bejegyzéseket a rendszer naplófájljában (/var/log). A Távoli grafikus bejelentkezés engedélyezése részben a többi felhasználónak is lehet jogokat adni a grafikus bejelentkezési képernyő elérésére a hálózaton keresztül. Mivel ez az elérés potenciális biztonsági kockázatot jelenthet, alapértelmezésben inaktív.

Felhasználó hozzáadása

Minden felhasználó rendelkezik egy numerikus és egy alfanumerikus felhasználói azonosítóval. Az ezek közötti kapcsolat az /etc/passwd fájlban állítható be, és amennyire csak lehet, annyira egyedinek kell lennie. A képernyőn látható adatok használatával adja meg a felhasználói azonosítókhoz rendelt számok tartományát (ezeket használja a rendszer új felhasználó felvételekor). A felhasználók esetében a legalább 500 megfelelő, az automatikusan generált számok 1000-től indulnak. Ehhez hasonló módon kell a csoportazonosítókat is beállítani.

Egyéb beállítások

Ha az előre meghatározott fájljogosultsági beállításokat kívánja használni, akkor válasszon az Alap, Biztonságos és Paranoid beállítások közül. A legtöbb felhasználó számára az Alap is elégséges. A Paranoid beállítás nagyon szigorú korlátozásokat tartalmaz, és jó alapul szolgálhat az egyedi beállításokhoz. Ha a Paranoid beállítást választja, ne feledkezzen meg róla, hogy bizonyos programok lehet, hogy nem fognak megfelelően működni, mivel a felhasználóknak ezután nincs jogosultságuk bizonyos fájlok eléréséhez.

Ebben a párbeszédablakban határozza meg azt is, melyik felhasználó indíthatja el az updatedb programot (ha telepítve van). Ez a program, amely naponta vagy rendszerindítás után automatikusan lefut, létrehoz egy adatbázist (locatedb), amelyik minden, a számítógépen tárolt fájl helyét tartalmazza. Ha a Senki lehetőséget választja, minden felhasználó csak azokat az útvonalakat láthatja az adatbázisban, amelyek minden (jogosulatlan) felhasználó számára is láthatók. Ha a root felhasználót választja, akkor minden helyi fájl indexelésre kerül, mivel a korlátlan jogosultságú root minden könyvtárat elérhet. Győződjön meg róla, hogy Az aktuális könyvtár szerepeljen-e a root elérési útvonalában és Az aktuális könyvtár szerepeljen-e a felhasználók útvonalában lehetőségek ki vannak kapcsolva. Ezeket a paramétereket csak szakértő felhasználóknak ajánljuk, mert ezek a beállítások helytelen használat esetén komoly biztonsági veszélyt jelentenek. Ahhoz, hogy még ha össze is omlik a rendszer, legyen valami irányítás felette, jelölje meg a Mágikus SysRq gombok engedélyezése pontot.

A biztonsági beállítások befejezéséhez nyomja meg a Befejezés gombot.

TűzfalTűzfal

A SuSEfirewall2 védi a gépet az Internetről érkező támadásokkal szemben. Beállítására a Biztonság és felhasználók+Tűzfal modul szolgál. A SuSEfirewall2 termékkel kapcsolatos részletes információ: 39. fejezet - Álcázás és tűzfalak.

[Tip]A tűzfal automatikus aktiválása

A YaST automatikusan elindít egy megfelelő beállításokkal rendelkező tűzfalat minden beállított hálózati csatolón. Csak akkor kell elindítania ezt a modult, ha át szeretné állítani a tűzfalat saját beállításokra, vagy ha ki kívánja kapcsolni azt.

Előző8.8. AppArmorTartalom8.10. VirtualizációKövetkező