| SUSE LINUX – Benutzerhandbuch Kapitel 4. YaST – Konfigurationen / 4.7. Sicherheit und Benutzer | ||||
|---|---|---|---|---|
 | 4.6. Netzwerk-Dienste | 4.8. System |  | |
| SUSE LINUX – Benutzerhandbuch Kapitel 4. YaST – Konfigurationen / 4.7. Sicherheit und Benutzer | ||||
|---|---|---|---|---|
| 4.6. Netzwerk-Dienste | 4.8. System | | |
Eine grundlegende Eigenschaft von Linux ist seine Multi-User-Fähigkeit. Daher können mehrere Benutzer unabhängig voneinander an einem einzigen Linux-System arbeiten. Jeder hat seinen eigenen Benutzer-Account, bestehend aus einem Benutzer- bzw. Login-Namen und einem persönlichen Passwort, mit dem er sich am System anmeldet. Dazu kommt außerdem ein persönliches Home-Verzeichnis, in dem die privaten Dateien und Konfigurationen gespeichert werden.
Nach dem Aufruf dieses Konfigurations-Tools öffnet sich die Maske Verwaltung von Benutzern und Gruppen. Zunächst können Sie mithilfe der Checkbox festlegen, ob Sie Benutzer oder Gruppen bearbeiten wollen.
YaST bietet Ihnen eine Übersicht über alle lokalen Benutzer auf dem System. Befinden Sie sich in einem größeren Netzwerk können Sie über alle Systembenutzer (z.B. root) oder NIS-Benutzer auflisten lassen. Sie können auch benutzerdefinierte Filtereinstellungen erzeugen. Sie schalten dann nicht mehr zwischen den einzelnen Benutzergruppen um, sondern können diese beliebig kombinieren. Um neue Benutzer anzulegen, klicken Sie auf und füllen in der Maske die entsprechenden Felder aus. Danach darf sich der neue Benutzer mit seinem Login-Namen und Passwort auf dem Rechner anmelden. Über die Schaltfläche nehmen Sie weitere Feineinstellungen für das Benutzerprofil vor. Sie können die Benutzerkennung, das Heimatverzeichnis und die Standard-Login-Shell manuell setzen. Darüber hinaus kann der neue Benutzer hier auch bestimmten Gruppen zugeordnet werden. Die Gültigkeitsdauer des Passworts konfigurieren Sie über . Alle diese Einstellungen lassen sich über die Schaltfläche nachträglich ändern. Soll ein Benutzer gelöscht werden, selektieren Sie ihn in der Liste und drücken den Button .
Für die fortgeschrittene Netzwerkadministration haben Sie die Möglichkeit, über die Standardeinstellungen für das Anlegen neuer Benutzer zu definieren. Sie legen die Art der Authentifizierung (NIS, LDAP, Kerberos oder Samba) sowie den Algorithmus für die Passwortverschlüsselung fest. Diese Einstellungen sind vor allem für den Einsatz in großen (Firmen-)Netzwerken interessant.
Starten Sie das Modul Gruppenverwaltung aus dem YaST Kontrollzentrum oder klicken Sie in der Benutzerverwaltung auf die Checkbox . Beide Masken zeigen identische Funktionalität, allerdings legen Sie hier neu Gruppen an, bearbeiten oder löschen sie.
Für eine komfortable Gruppenverwaltung stellt YaST Ihnen eine Liste aller Gruppen zur Verfügung. Soll eine Gruppe gelöscht werden, klicken Sie diese einfach in der Liste an, so dass die Zeile dunkelblau erscheint, und wählen Sie dann . Beim und geben Sie in der zugehörigen YaST Maske Namen, Gruppen-ID (gid) und Mitglieder dieser Gruppe an. Optional könnnen Sie für den Wechsel in diese Gruppe ein Passwort vergeben. Die Filtereinstellungen sind identisch zum Dialog .
In der Startmaske , die Sie unter aufrufen, haben Sie die Wahl zwischen vier Optionen:
ist für Einzelplatzrechner (vorkonfiguriert), ist für Workstations mit Netzwerk (vorkonfiguriert), ist für Server mit Netzwerk (vorkonfiguriert) und ist für eigene Einstellungen.
Wenn Sie einen der ersten drei Punkte anwählen, haben Sie die Möglichkeit, eine je nach Bedarf entsprechend vorkonfigurierte Systemsicherheit zu übernehmen. Klicken Sie hierfür einfach auf . Unter haben Sie auch Zugang zu den einzelnen Einstellungen, die Sie auf Wunsch verändern können. Wenn Sie wählen, gelangen Sie mit automatisch zu den verschiedenen Dialogen. Hier finden Sie die bei der Installation voreingestellten Werte.
Wünschen Sie, dass neue Passwörter vom System geprüft werden, bevor sie übernommen werden, selektieren Sie die beiden Checkboxen und . Legen Sie die Mindest- und Maximallänge des Passworts für neu anzulegende Benutzer fest. Ferner legen Sie die Gültigkeitsdauer des Passworts fest und bestimmen, wie viele Tage vor dessen Ablauf der Benutzer beim Login auf der Textkonsole gewarnt werden soll.
Wie soll die Tastenkombination Strg-Alt-Del interpretiert werden?
Üblicherweise bewirkt sie auf der Textkonsole einen System-Neustart. Das sollten Sie so belassen, es sei denn, Ihr Rechner bzw. Server ist öffentlich zugänglich und Sie befürchten, dass jemand unerlaubt diese Aktion durchführen könnte. Wenn Sie anwählen, bewirkt diese Tastenkombination ein Herunterfahren des Systems, bei bleibt diese Tastenkombination wirkungslos.
Wer darf das System vom KDM (KDE-Display-Manager – das grafische Login) aus herunterfahren?
(also der Systemadministrator), , oder ? Wenn Sie anwählen, dann kann das System nur noch von der Textkonsole aus heruntergefahren werden.
Üblicherweise gibt es nach einem fehlgeschlagenen Anmeldeversuch eine Wartezeit von einigen Sekunden, bis eine erneute Anmeldung möglich ist, um das automatische Knacken von Passwörtern zu erschweren. Zudem haben Sie die Möglichkeit, die Punkte und zu aktivieren. Falls Sie also Verdacht schöpfen, dass jemand versucht, Ihr Passwort herauszufinden, können Sie die Einträge in den System-Logdateien unter /var/log kontrollieren. Über die Checkbox erhalten andere Benutzer über das Netzwerk Zugriff auf Ihren grafischen Anmeldebildschirm. Diese Zugriffsmöglichkeit stellt jedoch ein potentielles Sicherheitsrisiko dar und ist deshalb standardmäßig inaktiv.
Jeder Benutzer hat eine numerische und eine alphanumerische Benutzerkennung. Die Zuordnung geschieht durch die Datei /etc/passwd und sollte möglichst eindeutig sein.
Anhand der Daten dieser Maske können Sie festlegen, welche Zahlenbereiche für den numerischen Teil der Benutzerkennung vergeben wird, wenn Sie einen neuen Benutzer anlegen. Das Minimum von 500 für einen Benutzer ist sinnvoll und sollte nicht unterschritten werden. Ebenso verfahren Sie mit den Einstellungen zur Gruppenkennung.
Bei gibt es drei Auswahlmöglichkeiten: , und . Den meisten Benutzern dürfte Ersteres ausreichen. Der YaST-Hilfetext gibt Ihnen Auskunft über die drei Sicherheitsstufen.
Die Einstellung ist extrem restriktiv und kann als Ausgangsbasis für eigene Einstellungen eines Administrators dienen. Wenn Sie auswählen, müssen Sie bei der Verwendung von einzelnen Programmen mit Störungen bzw. Fehlfunktionen rechnen, weil Sie nicht mehr die Rechte haben, auf verschiedene Dateien zuzugreifen. Außerdem können Sie in diesem Dialog den Benutzer festlegen, der das Programm updatedb starten soll. Das täglich oder nach dem Booten automatisch ablaufende updatedb erzeugt eine Datenbank (locatedb), in welcher der Ort jeder Datei auf Ihrem Rechner gespeichert wird (locatedb lässt sich mit dem Befehl locate durchsuchen). Wenn Sie wählen, kann jeder Benutzer nur Pfade in der Datenbank finden, die auch jeder andere (unprivilegierte) Benutzer sehen würde. Wenn root angewählt ist, werden alle lokalen Dateien indiziert, da der Benutzer root als Super-User alle Verzeichnisse listen darf.
Zuletzt sollten Sie die Option deaktivieren.
Mit schließen Sie Ihre Sicherheitskonfiguration ab.
Mit diesem Modul konfigurieren Sie die SuSEfirewall2, um Ihren Rechner vor Angriffen aus dem Internet abzuschirmen. Nach dem Modulstart folgen vier Dialoge. Im ersten Dialog wählen Sie die Schnittstellen, die abgesichert werden sollen (siehe Abb. 4.26. “YaST: SUSE-Firewall: Auswahl der zu schützenden Schnittstellen”). Bei wählen Sie die Schnittstelle ins Internet. Auch mehrere Schnittstellen können getrennt durch Leerzeichen angegeben werden. kommt für Sie nur in Frage, wenn Sie sich in einem internen Netzwerk befinden und Ihren Computer auch gegen dieses durch eine Firewall abschirmen wollen. Ihr Rechner würde sich dann in einer demilitarisierten Zone (=DMZ) befinden. Eine Konfiguration mit DMZ kommt normalerweise nur für Firmennetzwerke in Frage.
Wenn Sie Ihre Schnittstelle ausgewählt haben, können Sie im nächsten Dialogfenster die Dienste einzeln aktivieren, die vom Internet aus auf Ihrem Rechner erreichbar sein sollen (s. Abb. 4.27. “YaST: SUSE-Firewall: Von außen erreichbare Dienste”). Wollen Sie allerdings keinerlei Serverdienste anbieten und Ihren Rechner ausschließlich zum Surfen im Internet und zum Mail-Versand nutzen, überspringen Sie diesen Dialog ohne einen der angebotenen Dienste zu aktivieren.
Den dritten Dialog sollten Sie, vor allem, wenn Ihnen die Begriffe Masquerading und Traceroute nicht geläufig sind, unverändert übernehmen, ebenso wie den letzten, in dem die Standardoptionen zur Protokollierung im Normalfall ausreichen.
Mit werden Sie in einem kleinen Fenster noch einmal zur Bestätigung aufgefordert. Danach wird die neue Konfiguration auf Ihre Festplatte geschrieben und nach dem nächsten Start Ihrer Internetverbindung ist Ihr Rechner wirkungsvoll vor Angriffen geschützt.
Weitere Informationen über die SUSE-Firewall finden Sie im Administrationshandbuch unter Sicherheit im Netzwerk, Firewall.
