Sicherheit und Benutzer

Ein grundlegender Aspekt von Linux ist seine Mehrbenutzerfähigkeit. Somit können verschiedene Benutzer unabhängig voneinander auf demselben Linux-System arbeiten. Jeder Benutzer verfügt über ein Benutzerkonto, das durch einen Anmeldenamen und ein persönliches Passwort für die Anmeldung beim System gekennzeichnet ist. Alle Benutzer verfügen über eigene Home-Verzeichnisse, in denen persönliche Dateien und Konfigurationen gespeichert sind.

Benutzerverwaltung

Verwenden Sie Sicherheit und Benutzer+Benutzerverwaltung zum Erstellen und Bearbeiten von Benutzern. Diese Funktion bietet einen Überblick über die Benutzer im System, einschließlich NIS-, LDAP-, Samba- und Kerberos-Benutzern, sofern angefordert. Wenn Sie sich in einem umfangreichen Netzwerk befinden, klicken Sie auf Filter festlegen, um alle Benutzer nach Kategorien aufzuführen. Außerdem können Sie die Filtereinstellungen durch Klicken auf Benutzerdefinierte Filtereinstellung anpassen.

[Tip]Anwenden von Konfigurationsänderungen ohne Schließen des Moduls

Wenn Sie mehrere Konfigurationsänderungen vornehmen müssen und das Benutzer- und Gruppenkonfigurationsmodul nicht für jede einzelne Änderung neu starten möchten, können Sie die Änderungen mit Änderungen nun schreiben speichern, ohne das Konfigurationsmodul beenden zu müssen.

Hinzufügen von Benutzern

Zum Hinzufügen eines neuen Benutzers gehen Sie wie folgt vor:

  1. Klicken Sie auf Hinzufügen.

  2. Geben Sie für Benutzerdaten die erforderlichen Daten ein. Wenn Sie keine weiteren detaillierten Einstellungen für diesen Benutzer anpassen müssen, können Sie mit Schritt 5 fortfahren.

  3. Wenn Sie die ID, den Namen für das Home-Verzeichnis, das standardmäßige Home-Verzeichnis, die Gruppe, die Gruppenmitgliedschaften, die Verzeichnisberechtigungen oder die Login-Shell eines Benutzers ändern möchten, öffnen Sie den Karteireiter Details und ändern Sie die Standardwerte.

  4. Wenn Sie den Ablauf und die Länge für das Passwort bzw. die Ablaufwarnungen für einen Benutzer anpassen möchten, verwenden Sie den Karteireiter Passworteinstellungen.

  5. Schreiben Sie die Konfiguration des Benutzerkontos durch Klicken auf Übernehmen.

Der neue Benutzer kann sich sofort mit dem neu erstellten Anmeldenamen und dem Passwort anmelden.

Löschen von Benutzern

Gehen Sie zum Löschen eines Benutzers wie folgt vor:

  1. Wählen Sie den Benutzer aus der Liste aus.

  2. Klicken Sie auf Löschen.

  3. Legen Sie fest, ob das Home-Verzeichnis des zu löschenden Benutzers gelöscht oder beibehalten werden soll.

  4. Klicken Sie zum Anwenden der Einstellungen auf Ja.

Ändern der Anmeldekonfiguration

Gehen Sie zum Ändern der Anmeldekonfiguration wie folgt vor:

  1. Wählen Sie den Benutzer aus der Liste aus.

  2. Klicken Sie auf Bearbeiten.

  3. Passen Sie die Einstellungen unter Benutzerdaten, Details und Passworteinstellungen an.

  4. Speichern Sie die Konfiguration des Benutzerkontos durch Klicken auf Übernehmen.

Verwalten verschlüsselter Home-Verzeichnisse

Während der Erstellung eines Benutzerkontos können Sie ein verschlüsseltes Home-Verzeichnis erstellen. Gehen Sie wie folgt vor, um ein verschlüsseltes Home-Verzeichnis für einen Benutzer zu erstellen:

  1. Klicken Sie auf Hinzufügen.

  2. Geben Sie für Benutzerdaten die erforderlichen Daten ein.

  3. Aktivieren Sie auf dem Karteireiter Details die Option Verschlüsseltes Home-Verzeichnis verwenden.

  4. Übernehmen Sie die Einstellungen mit Übernehmen.

Gehen Sie wie folgt vor, um ein verschlüsseltes Home-Verzeichnis für einen bestehenden Benutzer zu erstellen:

  1. Wählen Sie einen Benutzer aus der Liste aus und klicken Sie auf Bearbeiten.

  2. Aktivieren Sie auf dem Karteireiter Details die Option Verschlüsseltes Home-Verzeichnis verwenden.

  3. Geben Sie das Passwort des ausgewählten Benutzers ein.

  4. Übernehmen Sie die Einstellungen mit Übernehmen.

Gehen Sie wie folgt vor, um die Verschlüsselung von Home-Verzeichnissen zu deaktiviern:

  1. Wählen Sie einen Benutzer aus der Liste aus und klicken Sie auf Bearbeiten.

  2. Deaktivieren Sie auf dem Karteireiter Details die Option Verschlüsseltes Home-Verzeichnis verwenden.

  3. Geben Sie das Passwort des ausgewählten Benutzers ein.

  4. Übernehmen Sie die Einstellungen mit Übernehmen.

Weitere Informationen zu verschlüsselten Verzeichnissen finden Sie unter Abschnitt 47.2, „Verwenden von verschlüsselten Home-Verzeichnissen“.

Automatische Anmeldung

[Warning]Verwenden der automatischen Anmeldung

Das Verwenden der Funktion für die automatische Anmeldung auf einem System, auf das physisch von mehreren Personen zugegriffen werden kann, stellt ein potenzielles Sicherheitsrisiko dar. Alle Benutzer, die auf dieses System zugreifen, können die darin enthaltenen Daten ändern. Verwenden Sie die Funktion für die automatische Anmeldung nicht, wenn Ihr System vertrauliche Daten enthält.

Wenn Sie der einzige Benutzer des Systems sind, können Sie die automatische Anmeldung für das System konfigurieren. Ein Benutzer wird automatisch nach dem Start im System angemeldet. Die Funktion für die automatische Anmeldung kann nur von einem ausgewählten Benutzer verwendet werden. Die automatische Anmeldung kann nur mit KDM oder GDM ausgeführt werden.

Wählen Sie den Benutzer aus der Liste der Benutzer aus und klicken Sie auf Optionen für Experten+Einstellungen für das Anmelden, um die automatische Anmeldung zu aktivieren. Wählen Sie dann Automatische Anmeldung aus und klicken Sie auf OK.

Wählen Sie zum Deaktivieren dieser Funktion den Benutzer aus und klicken Sie auf Optionen für Experten+Einstellungen für das Anmelden. Deaktivieren Sie dann Automatische Anmeldung und klicken Sie auf OK.

Anmelden ohne Passwort

[Warning]Zulassen der Anmeldung ohne Passwort

Das Verwenden der Funktion zum Anmelden ohne Passwort auf einem System, auf das physisch von mehreren Personen zugegriffen werden kann, stellt ein potenzielles Risiko dar. Alle Benutzer, die auf dieses System zugreifen, können die darin enthaltenen Daten ändern. Verwenden Sie diese Funktion nicht, wenn Ihr System vertrauliche Daten enthält.

Beim Anmelden ohne Passwort wird ein Benutzer automatisch im System angemeldet, nachdem der Benutzer den Benutzernamen im Anmeldungsmanager eingegeben hat. Diese Funktion ist für mehrere Benutzer auf einem System verfügbar und kann nur mit KDM oder GDM ausgeführt werden.

Um die Funktion zu aktivieren, wählen Sie den Benutzer aus der Liste der Benutzer aus und klicken Sie auf Optionen für Experten+Einstellungen für das Anmelden. Wählen Sie dann Anmeldung ohne Passwort aus und klicken Sie auf OK.

Um die Funktion zu deaktivieren, wählen Sie den Benutzer aus der Liste der Benutzer aus, für den Sie die Funktion deaktivieren möchten, und klicken Sie auf Optionen für Experten+Einstellungen für das Anmelden. Deaktivieren Sie dann Anmeldung ohne Passwort und klicken Sie auf OK.

Deaktivieren des Benutzernamens

Um einen Systembenutzer zu erstellen, der sich nicht im System anmelden kann, aber mit dessen Identität verschiedene systembezogene Aufgaben verwaltet werden können, deaktivieren Sie beim Erstellen des Benutzerkontos den Benutzernamen. Führen Sie dazu die folgenden Schritte aus:

  1. Klicken Sie auf Hinzufügen.

  2. Geben Sie für Benutzerdaten die erforderlichen Daten ein.

  3. Aktivieren Sie Benutzername deaktivieren.

  4. Übernehmen Sie die Einstellungen mit Übernehmen.

Gehen Sie wie folgt vor, um die Anmeldung für einen bestehenden Benutzer zu deaktivieren:

  1. Wählen Sie den Benutzer aus der Liste aus und klicken Sie auf Bearbeiten.

  2. Aktivieren Sie Benutzername deaktivieren unter Benutzerdaten.

  3. Übernehmen Sie die Einstellungen mit Übernehmen.

Erzwingen von Passwortrichtlinien

Bei einem System mit mehreren Benutzern ist es ratsam, mindestens grundlegende Sicherheitsrichtlinien für Passwörter zu erzwingen. Die Benutzer sollten ihre Passwörter regelmäßig ändern und starke Passwörter verwenden, die nicht so leicht herausgefunden werden können. Informationen zum Erzwingen strengerer Passwortregeln finden Sie unter Abschnitt 8.9.3, „Lokale Sicherheit“. Erstellen Sie eine Richtlinie für den Passwort-Ablauf, um eine Passwortrotation zu erzwingen.

Gehen Sie wie folgt vor, um die Richtline für den Passwort-Ablauf für einen neuen Benutzer zu konfigurieren:

  1. Klicken Sie auf Hinzufügen.

  2. Geben Sie für Benutzerdaten die erforderlichen Daten ein.

  3. Passen Sie die Werte unter Passworteinstellungen an.

  4. Übernehmen Sie die Einstellungen mit Übernehmen.

Gehen Sie wie folgt vor, um die Richtlinie für den Passwort-Ablauf für einen bestehenden Benutzer zu ändern:

  1. Wählen Sie den Benutzer aus der Liste aus und klicken Sie auf Bearbeiten.

  2. Passen Sie die Werte unter Passworteinstellungen an.

  3. Übernehmen Sie die Einstellungen mit Übernehmen.

Sie können die Lebensdauer eines beliebigen Benutzerkontos beschränken, indem Sie für dieses spezielle Konto ein Ablaufdatum angeben. Geben Sie für Ablaufdatum einen Wert im Format TT-MM-JJJJ an und verlassen Sie die Benutzerkonfiguration. Wenn für Ablaufdatum kein Wert angegeben wurde, läuft das Benutzerkonto nicht ab.

Ändern der Standardeinstellungen für neue Benutzer

Beim Erstellen von neuen lokalen Benutzern werden von YaST verschiedene Standardeinstellungen verwendet. Sie können diese Standardeinstellungen entsprechend Ihren Anforderungen ändern:

  1. Wählen Sie Optionen für Experten+Standardeinstellungen für neue Benutzer aus.

  2. Wenden Sie die Änderungen auf eines oder alle der folgenden Elemente an:

    • Standardgruppe

    • Sekundäre Gruppen

    • Standard-Anmelde-Shell

    • Pfadpräfix für Home-Verzeichnis

    • Skeleton für Home-Verzeichnis

    • Umask für Home-Verzeichnis

    • Standardablaufdatum

    • Tage nach Ablauf des Passworts, an denen Anmeldevorgang möglich

  3. Übernehmen Sie Änderungen mit Übernehmen.

Einige andere sicherheitsbezogene Standardeinstellungen können mithilfe des Moduls Einstellungen zur Sicherheit geändert werden. Weitere Informationen hierzu erhalten Sie unter Abschnitt 8.9.3, „Lokale Sicherheit“.

Ändern der Passwortverschlüsselung

[Note]

Änderungen bei der Passwortverschlüsselung werden nur auf lokale Benutzer angewendet.

Für die Passwortverschlüsselung kann von SUSE Linux Enterprise DES, MD5 oder Blowfish verwendet werden. Blowfish stellt die Standardmethode für die Passwortverschlüsselung dar. Die Verschlüsselungsmethode wird während der Installation des System festgelegt, wie in Abschnitt 3.14.1, „Passwort für den Systemadministrator „root““ beschrieben. Um die Methode für die Passwortverschlüsselung im installierten System zu ändern, wählen Sie Optionen für Experten+Passwortverschlüsselung aus.

Ändern der Authentifizierung und Benutzerquellen

Die Methode für die Benutzerauthentifizierung (z. B. NIS. LDAP, Kerberos oder Samba) wird während der Installation festgelegt, wie in Abschnitt 3.14.7, „Benutzer“ beschrieben. Um die Methode für die Benutzerauthentifizierung im installierten System zu ändern, wählen Sie Optionen für Experten+Authentifizierung und Benutzerquellen aus. Dieses Modul bietet einen Überblick über die Konfiguration sowie Optionen zum Konfigurieren des Client. Außerdem kann auch die Client-Konfiguration mit diesem Modul durchgeführt werden.

Gruppenverwaltung

Wählen Sie zum Erstellen bzw. Bearbeiten von Gruppen die Option Sicherheit und Benutzer+Gruppenverwaltungaus oder klicken Sie im Modul zur Benutzerverwaltung auf Gruppen. Beide Dialoge bieten dieselben Funktionen: Sie können Gruppen erstellen, bearbeiten und löschen.

Das Modul bietet einen Überblick über alle Gruppen. Wie beim Dialogfeld für die Benutzerverwaltung können die Filtereinstellungen durch Klicken auf Filter festlegen geändert werden.

Um eine Gruppe hinzuzufügen, klicken Sie auf Hinzufügen und geben Sie die entsprechenden Daten ein. Wählen Sie die Gruppenmitglieder aus der Liste aus, indem Sie das entsprechende Kontrollkästchen markieren. Klicken Sie auf Übernehmen, um die Gruppe zu erstellen. Um eine Gruppe zu bearbeiten, wählen Sie die gewünschte Gruppe aus der Liste aus und klicken Sie auf Bearbeiten. Nehmen Sie alle erforderlichen Änderungen vor und speichern Sie sie mit Übernehmen. Um eine Gruppe zu löschen, wählen Sie sie einfach in der Liste aus und klicken Sie auf Löschen.

Unter Optionen für Experten ist eine erweiterte Gruppenverwaltung möglich. Weitere Informationen zu diesen Optionen finden Sie in Abschnitt 8.9.1, „Benutzerverwaltung“.

Lokale Sicherheit

Mit Sicherheit und Benutzer+Lokale Sicherheit können Sie eine Gruppe von Sicherheitseinstellungen auf Ihr gesamtes System anwenden. Zu diesen Einstellungen gehört die Sicherheit für Booten, Anmeldung, Passwörter, das Erstellen von Benutzern und Dateiberechtigungen. SUSE Linux Enterprise bietet drei vorkonfigurierte Gruppen von Sicherheitseinstellungen: Home Workstation (Heim-Arbeitsplatzrechner), Networked Workstation (Vernetzter Arbeitsplatzrechner) und Netzwerkserver. Bearbeiten Sie die Standardwerte mit Details. Mithilfe von Benutzerdefinierte Einstellungen können Sie Ihr eigenes Schema erstellen.

Zu den detaillierten bzw. benutzerdefinierten Einstellungen gehören folgende Elemente:

Passworteinstellungen

Um neue Passwörter vor der Annahme vom System auf Sicherheit überprüfen zu lassen, klicken Sie auf Neue Passwörter überprüfen und Test auf komplizierte Passwörter. Legen Sie die Passwort-Mindestlänge für neu erstellte Benutzer fest. Definieren Sie den Zeitraum, für den die Passwörter gelten sollen, und wie viele Tage im Voraus eine Ablaufwarnung ausgegeben werden soll, wenn sich der Benutzer bei der Textkonsole anmeldet.

Einstellungen für den Systemstart

Legen Sie durch Auswahl der gewünschten Aktion fest, wie die Tastenkombination Strg+Alt+Entf interpretiert werden soll. Normalerweise führt diese Kombination in der Textkonsole dazu, dass das System neu gebootet wird. Bearbeiten Sie diese Einstellung nur, wenn Ihr Computer oder Server öffentlich zugänglich ist und Sie befürchten, dass jemand diesen Vorgang ohne Berechtigung ausführen könnte. Bei Auswahl von Anhalten führt diese Tastenkombination zum Herunterfahren des Systems. Mit Ignorieren wird die Tastenkombination ignoriert.

Bei Verwendung des KDE-Anmeldemanagers (KDM) können Sie die Berechtigungen für das Herunterfahren des Systems unter Einstellung für das Herunterfahren unter KDM festlegen. Sie können folgenden Personengruppen die Berechtigung erteilen: Nur root (Systemadministrator), Alle Benutzer, Niemand oder Lokale Benutzer. Bei Auswahl von Niemand kann das System nur über die Textkonsole heruntergefahren werden.

Einstellungen für das Anmelden

Üblicherweise ist nach einem gescheiterten Anmeldeversuch eine Wartezeit von mehreren Sekunden erforderlich, bevor eine weitere Anmeldung möglich ist. Dies erschwert Passwortschnüfflern die Anmeldung. Optional können Sie Aufzeichnung erfolgreicher Anmeldeversuche aktivieren. Wenn Sie den Verdacht haben, dass jemand versucht, Ihr Passwort zu ermitteln, überprüfen Sie die Einträge in den Systemprotokolldateien in /var/log. Um anderen Benutzern Zugriff auf Ihren grafischen Anmeldebildschirm über das Netzwerk zu gestatten, müssen Sie Grafische Anmeldung von Remote erlauben aktivieren. Da diese Zugriffsmöglichkeit ein potenzielles Sicherheitsrisiko darstellt, ist sie standardmäßig nicht aktiviert.

Hinzufügen von Benutzern

Jeder Benutzer besitzt eine numerische und eine alphabetische Benutzer-ID. Die Korrelation zwischen diesen beiden IDs erfolgt über die Datei /etc/passwd und sollte so eindeutig wie möglich sein. Mit den Daten in diesem Bildschirm legen Sie den Zahlenbereich fest, der beim Hinzufügen eines neuen Benutzers dem numerischen Teil der Benutzer-ID zugewiesen wird. Ein Mindestwert von 500 ist für die Benutzer geeignet. Automatisch generierte Systembenutzer beginnen bei 1000. Verfahren Sie ebenso mit den Gruppen-ID-Einstellungen.

Verschiedene Einstellungen

Zur Verwendung der vordefinierten Dateiberechtigungseinstellungen wählen Sie Easy (Einfach), Sicher oder Paranoid aus. Easy (Einfach) sollte für die meisten Benutzer ausreichen. Die Einstellung Paranoid ist sehr restriktiv und kann als grundlegende Betriebsstufe für benutzerdefinierte Einstellungen dienen. Bei Auswahl von Paranoid sollten Sie bedenken, dass einige Programme eventuell nicht mehr oder nicht mehr ordnungsgemäß arbeiten, da die Benutzer keinen Zugriff mehr auf bestimmte Dateien haben.

Legen Sie außerdem fest, welcher Benutzer das Programm updatedb starten soll, sofern es installiert ist. Dieses Programm, das automatisch jeden Tag oder nach dem Booten ausgeführt wird, erstellt eine Datenbank (locatedb), in der der Speicherort jeder Datei auf dem Computer gespeichert wird. Bei Auswahl von Niemand können alle Benutzer nur die Pfade in der Datenbank finden, die von jedem anderen Benutzer ohne besondere Berechtigungen gesehen werden können. Bei Auswahl von root werden alle lokalen Dateien indiziert, da der Benutzer root als Superuser auf alle Verzeichnisse zugreifen kann. Vergewissern Sie sich, dass die Optionen Aktuelles Verzeichnis im Pfad des Benutzers root und Das aktuelle Verzeichnis im Pfad der regulären Benutzer deaktiviert sind. Nur fortgeschrittene Benutzer sollten in Erwägung ziehen, diese Optionen zu verwenden, da diese Einstellungen ein erhebliches Sicherheitsrisiko darstellen können, wenn sie falsch eingesetzt werden. Um selbst bei einem Systemabsturz noch einen gewissen Grad an Kontrolle über das System zu haben, klicken Sie auf Magic SysRq Keys aktivieren.

Klicken Sie zum Abschließen der Sicherheitskonfiguration auf Beenden.

Zertifikatsverwaltung

Zertifikate werden für die Kommunikation verwendet und können beispielsweise auch auf ID-Karten in Unternehmen eingesetzt werden. Verwenden Sie zum Verwalten oder Importieren eines gemeinsamen Server-Zertifikats das Modul Sicherheit und Benutzer+CA Management. Detaillierte Informationen zu Zertifikaten, ihren Technologien und ihrer Verwaltung mit YaST finden Sie in Kapitel 42, Verwalten der X.509-Zertifizierung.

Firewall

SuSEfirewall2 kann Ihren Rechner vor Angriffen aus dem Internet schützen. Konfigurieren Sie sie mit Sicherheit und Benutzer+Firewall. Detaillierte Informationen zu SuSEfirewall2 finden Sie in Kapitel 43, Masquerading und Firewalls.

[Tip]Automatische Aktivierung der Firewall

In YaST wird automatisch eine Firewall mit geeigneten Einstellungen auf jeder konfigurierten Netzwerkschnittstelle gestartet. Starten Sie dieses Modul nur, wenn Sie die Firewall deaktivieren oder mit benutzerdefinierten Einstellungen neu konfigurieren möchten.