安全性與使用者

多重使用者是 Linux 的基本功能。因此,多位使用者可以在相同的 Linux 系統上獨立進行工作。登入名稱與個人密碼可用來識別每位使用者的使用者帳戶,以供登入系統使用。所有使用者都會擁有自己的主目錄,用以儲存個人檔案與組態。

使用者管理

使用安全性與使用者+使用者管理來建立和編輯使用者。它提供系統中所有使用者的綜覽,包括 NIS、LDAP、Samba 和 Kerberos 使用者 (若有需要)。如果您屬於大型網路中的一部分,請按一下設定過濾器來依照類別列出所有的使用者。您也可按一下自定過濾器來自定過濾器設定。

[Tip]不關閉模組而套用組態變更

如果您需要進行多項組態變更,但您不想在每一次變更時都重新啟動使用者和群組的組態模組,則使用立即寫入變更可在不離開組態模組的情況下儲存您的變更。

新增使用者

若要新增使用者,請按照下列步驟進行:

  1. 按一下新增

  2. 請輸入使用者資料的必要資料。如果您已不需為這個新使用者調整任何詳細設定,則請繼續前往步驟 5

  3. 若要變更使用者的 ID、主目錄名稱、預設主目錄、群組、群組成員、目錄許可權或登入外圍程序,請開啟詳細資料索引標籤並變更預設的值。

  4. 若要調整使用者的密碼期限、長度和過期警告,請使用密碼設定索引標籤。

  5. 請按一下接受來撰寫使用者帳戶組態。

新使用者可使用新建立的登入名稱和密碼立即登入。

刪除使用者

若要刪除使用者,請按照下列步驟進行:

  1. 在清單中選擇使用者。

  2. 按一下刪除

  3. 請決定是否要刪除使用者的主目錄,或先予以保留而在日後刪除。

  4. 按一下套用設定。

變更登入組態

若要變更登入組態,請按照下列步驟進行:

  1. 在清單中選擇使用者。

  2. 按一下編輯

  3. 調整使用者資料詳細資料密碼設定之下的設定。

  4. 請按一下接受來儲存使用者帳戶組態。

管理加密的主目錄

在使用者帳戶的建立程序中,您可以建立加密的主目錄。若要為使用者建立加密的主目錄,請按照下列步驟進行:

  1. 按一下新增

  2. 請輸入使用者資料的必要資料。

  3. 啟用詳細資料索引標籤中的使用加密的主目錄

  4. 選擇接受套用您的設定。

若要為現有的使用者建立加密的主目錄,請按照下列步驟進行:

  1. 請在清單中選取使用者,然後按一下編輯

  2. 啟用詳細資料索引標籤中的使用加密的主目錄

  3. 輸入選定使用者的密碼。

  4. 選擇接受套用您的設定。

若要停用主目錄的加密,請按照下列步驟進行:

  1. 請在清單中選取使用者,然後按一下編輯

  2. 停用詳細資料索引標籤中的使用加密的主目錄

  3. 輸入選定使用者的密碼。

  4. 選擇接受套用您的設定。

如需更多關於加密主目錄的資訊,請參閱第 47.2 節「使用加密主目錄」

自動登入

[Warning]使用自動登入功能

若在可讓多人實際存取的系統上使用自動登入功能,對安全性有潛在的風險。所有存取此系統的使用者都能操縱上面的資料。如果您的系統含有機密資料,則請勿使用自動登入功能。

如果您是系統的唯一使用者,則可以使用自動登入功能。此功能可讓使用者在系統啟動後自動登入。只有一個選定的使用者可以使用自動登入功能。自動登入功能只適用於 KDM 和 GDM。

若要啟用自動登入功能,請在使用者清單中選取使用者,然後按一下專家選項+登入設定。接著請選擇自動登入,再按一下確定

若要停用此功能,請選取使用者並按一下專家選項+登入設定。接著請取消勾選自動登入,再按一下確定

不以密碼登入

[Warning]允許不以密碼登入

若在可讓多人實際存取的系統上使用不以密碼登入的功能,對安全性有潛在的風險。所有存取此系統的使用者都能操縱上面的資料。如果您的系統含有機密資料,則請勿使用此功能。

當使用者在登入管理員中輸入使用者名稱時,這個不以密碼登入的功能會自動將進入系統的使用者記錄下來。這個功能可讓系統上的多個使用者使用,只適用於 KDM 或 GDM。

若要啟用此功能,請在使用者清單中選取使用者,然後按一下專家選項+登入設定。接著請選擇不以密碼登入,再按一下確定

若要停用此功能,請在使用者清單中選取要停用此功能的使用者,然後按一下專家選項+登入設定。接著請取消勾選不以密碼登入,再按一下確定

停用使用者登入

若想建立一個無法登入系統但可管理某些系統相關任務的系統使用者身份,請在建立使用者帳戶時停用使用者登入功能。請執行下列步驟:

  1. 按一下新增

  2. 請輸入使用者資料的必要資料。

  3. 請勾選停用使用者登入

  4. 選擇接受套用您的設定。

若要停用現有使用者的登入,請按照下列步驟進行:

  1. 請在清單中選取使用者,然後按一下編輯

  2. 請勾選使用者資料中的停用使用者登入

  3. 選擇接受套用您的設定。

強制執行密碼規則

在任何擁有多個使用者的系統上,若能至少強制執行基本的密碼安全性規則,是個不錯的作法。使用者應定期變更密碼,並應使用增強式密碼,因為此種密碼無法輕易破解。如需有關如何強制執行較嚴厲的密碼規則,請參閱第 8.9.3 節「本地安全性」。若要強制執行密碼的更換,請建立密碼過期規則。

若要為新使用者設定密碼過期規則,請按照下列步驟進行:

  1. 按一下新增

  2. 請在使用者資料輸入必要資料。

  3. 請調整密碼設定中的值。

  4. 選擇接受套用您的設定。

若要為現有的使用者變更密碼過期規則,請按照下列步驟進行:

  1. 請在清單中選取使用者,然後按一下編輯

  2. 請調整密碼設定中的值。

  3. 選擇接受套用您的設定。

您可以為特定的使用者帳戶指定一個過期日,藉以限制該帳戶的生命期。請以 YYYY-MM-DD 的格式指定過期日並填入使用者的組態資訊。若未提供過期日,使用者帳戶就不會過期。

變更新使用者的預設設定

建立新的本地使用者時,YaST 會使用幾個預設設定。您可以變更這些預設設定來符合自身需求。

  1. 請選取專家選項+新使用者的預設設定

  2. 請對以下的任何項目套用您的變更:

    • 預設群組

    • 次要群組

    • 預設登入外圍程序

    • 主目錄的路徑字首

    • 主目錄的基本架構

    • 主目錄的 umask

    • 預設過期日

    • 密碼過期後仍可登入的天數

  3. 選擇接受套用您的變更。

有幾個其他與安全性有關的預設設定也可以使用本地安全性進行變更。請參閱第 8.9.3 節「本地安全性」以取得更多資訊。

變更密碼的加密

[Note]

密碼加密的變更只適用於本地使用者。

SUSE Linux Enterprise 可以使用 DES、MD5 或 Blowfish 來進行密碼的加密,而 Blowfish 是預設的密碼加密方法。加密方法是在系統安裝期間所設定的,如第 3.14.1 節「系統管理員 「root」 的密碼」所述。若要變更已安裝系統的密碼加密方法,請選取專家選項+密碼加密

變更認證和使用者來源

使用者管理方法 (例如 NIS、LDAP、Kerberos 或 Samba) 是在安裝期間設定的,如第 3.14.7 節「使用者」所述。若要變更已安裝系統的使用者認證法,請選取專家選項+認證和使用者來源。此模組可提供組態綜覽以及用戶端的設定選項。您也可使用此模組來進行進階用戶端設定。

群組管理

若要建立和編輯群組,請選取安全性與使用者+群組管理,或在使用者管理模組中按一下群組。這兩個對話方塊擁有相同的功能,都可讓您建立、編輯或刪除群組。

模組可提供所有群組的綜覽。就像使用者管理對話方塊,只要按一下設定過濾器就可以變更過濾器設定。

若要新增群組,請按一下新增,並輸入適當的資料。您可選取對應方塊,從清單中選取群組成員。按一下接受建立群組。若要編輯群組,請從清單中選擇要編輯的群組,並按一下編輯。進行所有必要的變更,並使用接受儲存變更。若要刪除群組,只需從清單中選擇,然後按一下刪除

按一下進階選項,進行進階的群組管理。如需這些選項的詳細資訊,請參閱第 8.9.1 節「使用者管理」

本地安全性

若要在整個系統中套用一組安全性設定,請使用安全性與使用者+本地安全性。這些設定包含開機、登入、密碼、使用者建立和檔案許可權的安全性。SUSE Linux Enterprise 提供三種預先設定的安全性組合:主工作站網路工作站網路伺服器。使用詳細資料來修改預設值。若要建立您自己的配置,請使用自定設定

詳細或自定設定包含如下:

密碼設定

若要在接受新的密碼之前讓系統檢查密碼安全性,請按一下檢查新密碼測試複雜密碼。設定新建使用者的密碼長度下限。定義密碼的有效期間、以及應該在到期前幾天內,於該使用者登入文字主控台時就發出警示。

開機設定

設定選擇所需的動作來定義按鍵組合 Ctrl+Alt+Del。通常在文字主控台中輸入此組合,就會讓系統重新開機。除非您的電腦或伺服器可供公用存取,而且您擔心會有人未經過授權就執行此動作,否則請不要修改此設定。如果選擇停止,此按鍵組合就會使系統關機。使用忽略,則會忽略此按鍵組合。

如果您使用 KDE 登入管理員 (KDM),請在KDM 的關機行為中設定關閉系統的權限。可將許可權授予只有 root(系統管理員)、所有使用者無人本地使用者。如果選擇無人,系統就只能透過文字主控台來關閉。

登入設定

一般情況下,登入失敗之後會先等待數秒,然後才能進行另一次登入。如此可讓密碼監聽程式 (sniffer) 不容易登入。可選擇性啟用記錄成功登入次數。如果您懷疑有人試圖要探查您的密碼時,請在 /var/log 中檢查系統記錄檔中的項目。啟用允許遠端圖形登入,允許其他使用者透過網路存取圖形登入畫面。因為此存取方式有潛在的安全性風險,因此預設會關閉該功能。

使用者新增

每位使用者都擁有數值與字母混合的使用者 ID。這些資料之間的關聯是使用 /etc/passwd 檔案建立,而且應該是唯一專屬資訊。使用此畫面中的資料,可在新增使用者時,針對要指定給使用者 ID 的數值部分來定義數字範圍。使用者適用的下限為 500。自動產生的系統使用者會從 1000 開始。請以群組 ID 設定的相同步驟繼續。

其他設定

若要使用預先定義的檔案權限設定,請選取簡易安全Paranoid簡易選項對於大部分使用者而言應已足夠。Paranoid設定相當嚴格,而且可作為自定設定的作業基礎。請記得,如果選取Paranoid,有些程式可能就無法運作或無法正確運作,因為使用者可能已經不具備存取特定檔案的權限。

您也可以定義哪些使用者可以在安裝後啟動 updatedb 程式。此程式每天都會自動執行,或是在開機後執行,您電腦上每個檔案的儲存位置都會包含在所產生的資料庫 (locatedb) 內。如果選擇無人,則使用者都只能夠在資料庫中,找到其他 (未經授權) 使用者都能看到的路徑。如果選擇 root,則會製作所有本地檔案的索引,因為 root 使用者是超級使用者,可以存取所有目錄。確認已停用根路徑中目前的目錄一般使用者路徑中目前的目錄。只有進階使用者才應考慮使用這些選項,因為若使用錯誤的話,這些設定可能導致明顯的安全性風險。即使系統損毀後仍想擁有系統的部分控制權時,請按一下開啟魔術 SysRq 鑰匙

按一下完成,完成安全性組態。

憑證管理

憑證可供通訊使用,也可應用在公司 ID 卡等設備中。若要管理憑證或是輸入一般伺服器憑證,請使用安全性與使用者+CA 管理。如需有關憑證、憑證使用技術以及使用 YaST 進行管理的詳細資訊,請參閱第 42 章「管理 X.509 憑證

防火牆

SUSEfirewall2 可保護您的電腦不會受到來自網際網路的攻擊。使用安全性與使用者+防火牆來設定。如需關於 SuSEfirewall2 的詳細資訊,請參閱第 43 章「偽裝與防火牆

[Tip]自動啟用防火牆

YaST 會根據每個已設定的網路介面,以合適的設定自動啟動防火牆。如果想要以自定設定重新設定防火牆,或是停用防火牆功能,請僅啟動此模組。