10 使用 YaST 配置安全性设置 #
YaST 的模块提供了一个用于配置 SUSE Linux Enterprise Server 的安全性相关设置的信息交换中心。使用该模块可以配置与安全性相关的各个方面,例如,有关登录过程、口令创建、引导权限、用户创建或默认文件权限的设置。在 YaST 控制中心内选择 › 启动该模块。对话框启动时焦点始终位于中,其他配置对话框在右侧窗格中提供。
10.1 #
显示系统最重要的安全性设置的综合列表。列表中会清楚地列出每一项的安全状态。绿色对勾标记表示相应设置是安全的,而红色叉号则表示相应的项不安全。单击可打开设置概述以及有关如何使其变得安全的信息。要更改某项设置,请单击“状态”列中相应的链接。根据具体的设置,会显示以下几项:
- /
单击此项可将设置状态切换为已启用或已禁用。
单击此项可启动另一个 YaST 模块进行配置。退出该模块后,您会返回到“安全性概述”。
未安装关联的服务时,相应设置的状态会设置为未知。此类设置不代表潜在的安全风险。
10.2 #
SUSE Linux Enterprise Server 随附了三个。这些配置会影响模块中提供的所有设置。您可以使用右侧窗格中的对话框根据自己的需要修改每个配置,只需将其状态更改为即可:
使用任何网络连接类型(包括连接到因特网)的工作站的配置。
此设置适用于连接到不同网络的笔记本电脑或平板电脑。
适用于提供 Web 服务器、文件服务器、名称服务器等网络服务的计算机的安全性设置。此设置为预定义的设置提供最安全的配置。
如果已预先选中(打开对话框时),则表示已修改某个预定义的设置。主动选择此选项不会更改当前配置 — 您需要使用更改此配置。
10.3 #
容易猜出的口令是一个重大的安全问题。可以通过对话框来确保只能使用安全的口令。
激活此选项后,如果新口令包含在某个字典中,或者口令是专有名词,系统将发出警告。
如果用户所选口令的长度小于此处指定的值,系统将发出警告。
激活口令失效功能(通过)后,此设置会储存给定数量的用户既往口令,以防止重复使用这些口令。
选择一种口令加密算法。通常无需更改默认设置 (Blowfish)。
通过指定最小和最大时间限制(以天为单位)来激活口令失效功能。将最短有效期设置为大于
0天的值可以防止用户立即更改其口令(这样做会绕过口令失效功能)。使用值0和99999可以停用口令失效功能。当口令即将失效时,用户会提前收到警告。指定应在失效日期前的多少天发出警告。
10.4 #
在此对话框中配置哪些用户可以通过图形登录管理器关闭计算机。您还可以指定如何解释 Ctrl–Alt–Del,以及谁可以将系统休眠。
10.5 #
此对话框可让您配置安全性相关的登录设置:
为了提高有人通过反复登录猜出用户口令的难度,建议在登录失败后延迟显示登录提示。请指定以秒为单位的值。确保错误键入口令的用户不需要等待太长时间。
如果选中此项,则可以通过网络访问图形登录管理器 (GDM)。这会造成潜在的安全风险。
10.6 #
设置用户与组 ID 的最小值和最大值。极少需要更改这些默认设置。
10.7 #
此处列出了不属于上述类别的其他安全性设置:
SUSE Linux Enterprise Server 随附了针对文件系统的三组预定义文件权限。这几组权限定义普通用户是否可以读取日志文件或启动特定的程序。文件权限适用于独立计算机。例如,这些设置允许普通用户读取大多数系统文件。有关完整配置,请参见
/etc/permissions.easy文件。文件权限适用于可提供网络访问的多用户计算机。/etc/permissions.secure中提供了这些设置的全面说明。设置是限制性最强的权限,请慎用。有关详细信息,请参见/etc/permissions.paranoid。updatedb程序可扫描系统,并创建能够使用locate命令查询的所有文件位置的数据库。以 nobody 用户身份运行updatedb时,只会将全局可读文件添加到数据库。以root用户身份运行时,会添加几乎所有的文件(不允许 root 读取的文件除外)。魔术 SysRq 键是一个组合键,即使系统已崩溃,您也能借助它对系统进行一定程度的控制。https://www.kernel.org/doc/html/latest/admin-guide/sysrq.html 上提供了完整文档。