17 使用 YaST 配置安全设置 #
YaST 的模块提供了一个中心控制面板,用于配置 SUSE Linux Enterprise Server 的安全相关设置。使用该模块可以配置与安全相关的各个方面,例如,有关登录过程、口令创建、引导权限、用户创建或默认文件权限的设置。在 YaST 控制中心内选择 › 启动该模块。对话框即会打开并显示,左侧和右侧窗格中会显示其他配置对话框。
17.1 #
显示系统最重要的安全设置的综合列表。列表中会显示每一项的安全状态。绿色对勾标记表示相应设置是安全的,而红色叉号则表示相应的项不安全。单击可打开设置概述以及有关如何使其变得安全的信息。要更改某项设置,请单击“状态”列中相应的链接。根据具体的设置,会显示以下几项:
- /
单击此项可将设置状态切换为已启用或已禁用。
单击此项可启动另一个 YaST 模块进行配置。退出该模块后,您会返回到“安全概览”。
未安装关联的服务时,相应设置的状态会设置为未知。此类设置不代表潜在的安全风险。
17.2 #
SUSE Linux Enterprise Server 包含三项。这些配置会影响模块中提供的所有设置。在左侧窗格中单击可查看预定义的配置。单击要应用的配置,模块随即会关闭。如果您要修改预定义设置,请重新打开模块,单击,然后在右侧窗格中单击。您做出的所有更改都将应用于所选的预定义配置。
使用任何网络连接类型(包括连接到互联网)的工作站的配置。
此设置适用于连接到不同网络的笔记本电脑或平板电脑。
适用于提供 Web 服务器、文件服务器、名称服务器等网络服务的计算机的安全性设置。此设置为预定义的设置提供最安全的配置。
选择可以在应用三个预定义配置中的任何一个后对其进行修改。
17.3 #
容易猜出的口令是一个重大的安全问题。可以通过对话框来确保只能使用安全的口令。
激活此选项后,如果新口令包含在某个字典中,或者口令是专有名词,系统将发出警告。
如果用户所选口令的长度小于此处指定的值,系统将发出警告。
激活口令失效功能(通过)后,此设置会存储给定数量的用户既往口令,以防止重复使用这些口令。
选择一种口令加密算法。通常无需更改默认设置 (Blowfish)。
通过指定最小和最大时间限制(以天为单位)来激活口令失效功能。将最短有效期设置为大于
0天的值可以防止用户立即更改其口令(这样做会绕过口令失效功能)。使用值0和99999可以停用口令失效功能。当口令即将失效时,用户会提前收到警告。指定应在失效日期前的多少天发出警告。
17.4 #
在此对话框中配置哪些用户可以通过图形登录管理器关闭计算机。您还可以指定如何解释 Ctrl–Alt–Del,以及谁可以将系统休眠。
17.5 #
此对话框可让您配置安全性相关的登录设置:
为了提高有人通过反复登录猜出用户口令的难度,建议在登录失败后延迟显示登录提示。请指定以秒为单位的值。确保错误键入口令的用户不需要等待太长时间。
如果选中此项,则可以通过网络访问图形登录管理器 (GDM)。这会造成潜在的安全风险。
17.6 #
设置用户与组 ID 的最小值和最大值。极少需要更改这些默认设置。
17.7 #
此处列出了不属于上述类别的其他安全性设置:
SUSE Linux Enterprise Server 随附了针对文件系统的三组预定义文件权限。这几组权限定义普通用户是否可以读取日志文件或启动特定的程序。文件权限适用于独立计算机。例如,这些设置允许普通用户读取大多数系统文件。有关完整配置,请参见
/etc/permissions.easy文件。文件权限适用于可提供网络访问的多用户计算机。/etc/permissions.secure中提供了这些设置的全面说明。设置是限制性最强的权限,请慎用。有关更多信息,请参见/etc/permissions.paranoid。updatedb程序可扫描系统,并创建能够使用locate命令查询的所有文件的数据库。以 nobody 用户身份运行updatedb时,只会将全局可读文件添加到数据库。以root用户身份运行时,会添加几乎所有的文件(不允许 root 读取的文件除外)。魔术 SysRq 键是一个组合键,即使系统已崩溃,您也能借助它对系统进行一定程度的控制。https://www.kernel.org/doc/html/latest/admin-guide/sysrq.html 上提供了完整文档。