12.3 使用者帳戶的其他選項

除了預設使用者帳戶的設定以外,SUSE® Linux Enterprise Server 還提供了更多選項,例如用於執行密碼規則、使用加密的主目錄或定義使用者和群組的磁碟配額的選項。

12.3.1 自動登入和無密碼登入

如果您使用的是 KDE 或 GNOME 桌面環境,則可以對特定使用者設定「自動登入」,對所有使用者設定「無密碼登入」。自動登入會讓使用者在開機時自動登入桌面環境。一次只能對一個使用者啟用此功能。使用無密碼登入可以讓使用者在登入管理員中輸入其使用者名稱後直接登入系統。

警告: 安全性風險

在多人可以存取的機器上啟用「自動登入」或「無密碼登入」會有安全性風險。所有使用者無須驗證即可存取您的系統和資料。如果您的系統含有機密資料,則請勿使用此功能。

若要啟用自動登入和無密碼登入,可以透過 YaST使用者及群組管理中的進階選項 > 登入設定來存取這些功能。

12.3.2 強制執行密碼規則

在任何擁有多個使用者的系統上,若能至少強制執行基本的密碼安全性規則,是個不錯的作法。使用者應定期變更密碼,並應使用增強式密碼,因為此種密碼無法輕易破解。對於本地使用者,請按照下列步驟進行:

設定密碼設定

  1. 開啟 YaST 的使用者及群組管理對話方塊並選取使用者索引標籤。

  2. 選取要為其變更密碼選項的使用者,然後按一下編輯

  3. 切換到密碼設定索引標籤。

  4. 若要讓使用者在下次登入時變更其密碼,請啟用強制密碼變更

  5. 若要強制密碼輪用,請設定相同密碼最多可使用天數相同密碼最少可使用天數

  6. 若要提醒使用者在其密碼過期之前變更密碼,請設定密碼過期前發出警告的天數

  7. 若要限制使用者在其密碼過期後可以登入的期限,請變更密碼過期後仍可登入的天數中的值。

  8. 還可以為密碼指定特定的過期日期。以 YYYY-MM-DD 格式輸入過期日

  9. 如需關於選項和預設值的詳細資訊,請按一下說明

  10. 按一下確定套用您的變更。

12.3.3 管理加密的主目錄

若要保護主目錄中的資料不致遭到竊取或徹底移除,您可以為使用者建立加密的主目錄。這些主目錄使用 LUKS (Linux Unified Key Setup) 加密,會為使用者產生影像以及影像金鑰。複本金鑰受到使用者登入密碼保護。使用者登入系統時,就會裝載加密的主目錄,並且可以使用其中的內容。

附註: 指紋讀取器設備和加密的主目錄

若您要使用指紋讀取器設備,則不得使用加密的主目錄。否則登入將會失敗,因為登入時解密作業無法與使用中的指紋讀取器設備配合工作。

透過 YaST,您可為新使用者或現有使用者建立加密的主目錄。若要加密現有使用者的主目錄或修改加密的主目錄,您必須知道使用者目前的登入密碼。預設會將所有現有的使用者資料複製到新的加密主目錄,但不會從未加密的目錄中將其刪除。

警告: 安全性限制

加密使用者的主目錄並不會強化對於其他使用者的安全性。若需要高度安全性,則不應共享實體系統。

如需加密主目錄和用於增強安全性的動作的背景資訊,請參閱第 12.2 節「Using Encrypted Home Directories」

建立加密的主目錄

  1. 開啟 YaST 的使用者及群組管理對話方塊並按一下使用者索引標籤。

  2. 若要加密現有使用者的主目錄,請選取該使用者並按一下編輯

    否則,請按一下新增建立新的使用者帳戶,然後在第一個索引標籤上輸入適當的使用者資料。

  3. 啟用詳細資料索引標籤中的使用加密的主目錄。使用目錄大小的 MB 數指定要為此使用者建立之加密影像檔的大小。

  4. 按一下確定套用您的設定。

  5. 如果 YaST 提示輸入使用者目前的登入密碼,請輸入該密碼以繼續。

  6. 按一下進階選項 > 立即寫入變更儲存所有變更,而不離開管理對話方塊。或者按一下完成關閉管理對話方塊並儲存變更。

修改或停用加密的主目錄

當然,您也可以隨時停用對主目錄的加密或變更影像檔的大小。

  1. 使用者檢視窗中開啟 YaST 的使用者及群組管理對話方塊。

  2. 請在清單中選取使用者,然後按一下編輯

  3. 若要停用加密,請切換到詳細資料索引標籤並停用使用加密的主目錄

    如果您需要為此使用者增大或減小加密影像檔的大小,請變更目錄大小的 MB 數

  4. 按一下確定套用您的設定。

  5. 如果 YaST 提示輸入使用者目前的登入密碼,請輸入該密碼以繼續。

  6. 按一下進階選項 > 立即寫入變更以儲存所有變更,而不離開使用者及群組管理對話方塊。或者按一下完成關閉管理對話方塊並儲存變更。

12.3.4 使用指紋驗證

如果您的系統配有指紋讀取器,那麼,您便可以使用這種生物測量驗證方法,做為透過登入和密碼進行標準驗證的補充。使用者註冊其指紋後,可以透過在指紋讀取器上滑掃指紋,或者輸入密碼,來登入系統。

可以使用 YaST 註冊指紋。如需設定和使用指紋驗證的的詳細資訊,請參閱第 3 章Using the Fingerprint Reader。如需受支援設備的清單,請參閱 http://reactivated.net/fprint/wiki/Supported_devices

12.3.5 管理配額

為避免出現事先未通知系統容量即用盡的情況,系統管理員可以為使用者或群組設定配額。可以為一或多個檔案系統定義配額,並限制可以使用的磁碟空間容量及可以在該處建立的 inode (索引節點) 數量。Inode 是檔案系統上的資料結構,用於儲存關於一般檔案、目錄或其他檔案系統物件的基本資訊。它們會儲存檔案系統物件的所有屬性 (例如使用者和群組擁有權、讀取、寫入或執行許可權),檔案名稱和內容除外。

SUSE Linux Enterprise Server 允許使用「」配額和「」配額。軟配額通常定義用於通知使用者已接近限制的警告層級,而硬配額則定義拒絕寫入要求的限制。此外,可以定義寬限間隔,允許使用者或群組在一定數量範圍內暫時違反其配額。

對分割區啟用配額支援

若要為特定使用者和群組設定配額,您需要先在 YaST 的「進階磁碟分割程式」中對相應的分割區啟用配額支援。

  1. 在 YaST 中,選取系統 > 磁碟分割程式,然後按一下繼續。

  2. 進階磁碟分割程式中,選取要對其啟用配額的分割區,然後按一下編輯

  3. 按一下Fstab 選項並啟用啟用配額支援。如果「配額」套件尚未安裝,則在您按一下確認相應的訊息時會加以安裝。

  4. 確認變更並離開進階磁碟分割程式

為使用者或群組設定配額

現在,您可以為特定使用者或群組定義軟配額或硬配額,並設定做為寬限間隔的期間。

  1. 在 YaST 的使用者及群組管理中,選取要為其設定配額的使用者或群組,然後按一下編輯

  2. 外掛程式索引標籤中,選取配額項目,然後按一下啟動開啓配額組態對話方塊。

  3. 檔案系統中,選取要為其套用配額的分割區。

  4. 大小限制下面,限制磁碟空間的容量。輸入使用者或群組在此分割區上可使用的 1 KB 區塊數。指定軟限制硬限制的值。

  5. 此外,您還可以限制使用者或群組在分割區上可擁有的 inode 數。在Inode 限制下面,輸入軟限制硬限制

  6. 只有在使用者或群組已經超過指定的大小或 inode 軟限制後,您才可以定義寬限間隔。否則,與時間相關的輸入欄位將處於未啟用狀態。指定允許使用者或群組超過上述所設限制的期間。

  7. 確定 確認您的設定值。

  8. 按一下進階選項 > 立即寫入變更以儲存所有變更,而不離開使用者及群組管理對話方塊。或者按一下完成關閉管理對話方塊並儲存變更。

SUSE Linux Enterprise Server 還提供了一些指令行工具,例如 repquotawarnquota,系統管理員可以使用它們來控制磁碟的使用或將電子郵件通知傳送給超過配額的使用者。管理員還可以使用 quota_nld 將關於所超過之配額的核心訊息轉遞給 D-BUS。如需詳細資訊,請參閱 repquotawarnquotaquota_nld 手冊頁 (需要提供 root 密碼)。