跳到内容跳到页面导航:上一页 [access key p]/下一页 [access key n]
documentation.suse.com / SUSE Linux Enterprise Server 文档 / 安全指南 / 本地安全 / 使用 YaST 配置安全性设置
适用范围 SUSE Linux Enterprise Server 15 SP2

10 使用 YaST 配置安全性设置

YaST 的安全和强化中心模块提供了一个用于配置 SUSE Linux Enterprise Server 的安全性相关设置的信息交换中心。使用该模块可以配置与安全性相关的各个方面,例如,有关登录过程、口令创建、引导权限、用户创建或默认文件权限的设置。在 YaST 控制中心内选择安全和用户 › 安全和强化中心启动该模块。安全中心对话框启动时焦点始终位于安全性概述中,其他配置对话框在右侧窗格中提供。

10.1 安全性概述

安全性概述显示系统最重要的安全性设置的综合列表。列表中会清楚地列出每一项的安全状态。绿色对勾标记表示相应设置是安全的,而红色叉号则表示相应的项不安全。单击帮助可打开设置概述以及有关如何使其变得安全的信息。要更改某项设置,请单击“状态”列中相应的链接。根据具体的设置,会显示以下几项:

已启用/已禁用

单击此项可将设置状态切换为已启用或已禁用。

配置

单击此项可启动另一个 YaST 模块进行配置。退出该模块后,您会返回到“安全性概述”。

未知

未安装关联的服务时,相应设置的状态会设置为未知。此类设置不代表潜在的安全风险。

YaST 安全和强化中心:安全性概述
图 10.1︰ YaST 安全和强化中心:安全性概述

10.2 预定义安全性配置

SUSE Linux Enterprise Server 随附了三个预定义安全性配置。这些配置会影响安全中心模块中提供的所有设置。您可以使用右侧窗格中的对话框根据自己的需要修改每个配置,只需将其状态更改为自定义设置即可:

工作站

使用任何网络连接类型(包括连接到因特网)的工作站的配置。

漫游设备

此设置适用于连接到不同网络的笔记本电脑或平板电脑。

网络服务器

适用于提供 Web 服务器、文件服务器、名称服务器等网络服务的计算机的安全性设置。此设置为预定义的设置提供最安全的配置。

自定义设置(C)

如果自定义设置已预先选中(打开预定义安全性配置对话框时),则表示已修改某个预定义的设置。主动选择此选项不会更改当前配置 — 您需要使用安全性概述更改此配置。

10.3 口令设置

容易猜出的口令是一个重大的安全问题。可以通过口令设置对话框来确保只能使用安全的口令。

检查新口令

激活此选项后,如果新口令包含在某个字典中,或者口令是专有名词,系统将发出警告。

口令的最小可接受长度

如果用户所选口令的长度小于此处指定的值,系统将发出警告。

要记忆的口令的数目

激活口令失效功能(通过口令有效期)后,此设置会储存给定数量的用户既往口令,以防止重复使用这些口令。

口令加密方法

选择一种口令加密算法。通常无需更改默认设置 (Blowfish)。

口令有效期

通过指定最小和最大时间限制(以天为单位)来激活口令失效功能。将最短有效期设置为大于 0 天的值可以防止用户立即更改其口令(这样做会绕过口令失效功能)。使用值 099999 可以停用口令失效功能。

口令失效前多少天发出警告

当口令即将失效时,用户会提前收到警告。指定应在失效日期前的多少天发出警告。

10.4 引导设置

在此对话框中配置哪些用户可以通过图形登录管理器关闭计算机。您还可以指定如何解释 CtrlAltDel,以及谁可以将系统休眠。

10.5 登录设置

此对话框可让您配置安全性相关的登录设置:

不正确登录尝试后的延迟

为了提高有人通过反复登录猜出用户口令的难度,建议在登录失败后延迟显示登录提示。请指定以秒为单位的值。确保错误键入口令的用户不需要等待太长时间。

允许远程图形登录(G)

如果选中此项,则可以通过网络访问图形登录管理器 (GDM)。这会造成潜在的安全风险。

10.6 用户添加

设置用户与组 ID 的最小值和最大值。极少需要更改这些默认设置。

10.7 其他设置

此处列出了不属于上述类别的其他安全性设置:

文件权限

SUSE Linux Enterprise Server 随附了针对文件系统的三组预定义文件权限。这几组权限定义普通用户是否可以读取日志文件或启动特定的程序。容易文件权限适用于独立计算机。例如,这些设置允许普通用户读取大多数系统文件。有关完整配置,请参见 /etc/permissions.easy 文件。安全文件权限适用于可提供网络访问的多用户计算机。/etc/permissions.secure 中提供了这些设置的全面说明。非常安全设置是限制性最强的权限,请慎用。有关详细信息,请参见 /etc/permissions.paranoid

用户起动 updatedb

updatedb 程序可扫描系统,并创建能够使用 locate 命令查询的所有文件位置的数据库。以 nobody 用户身份运行 updatedb 时,只会将全局可读文件添加到数据库。以 root 用户身份运行时,会添加几乎所有的文件(不允许 root 读取的文件除外)。

启用魔术 SysRq 键

魔术 SysRq 键是一个组合键,即使系统已崩溃,您也能借助它对系统进行一定程度的控制。https://www.kernel.org/doc/html/latest/admin-guide/sysrq.html 上提供了完整文档。