3.6. Sicherheit und Benutzer

Ein grundlegender Aspekt von Linux ist seine Mehrbenutzerfähigkeit. Somit können verschiedene Benutzer unabhängig voneinander auf demselben Linux-System arbeiten. Jeder Benutzer verfügt über ein Benutzerkonto, das durch einen Anmeldenamen und ein persönliches Passwort für die Anmeldung beim System gekennzeichnet ist. Alle Benutzer verfügen über eigene Home-Verzeichnisse, in denen persönliche Dateien und Konfigurationen gespeichert sind.

3.6.1. Benutzerverwaltung

Nachdem Sie die Benutzerverwaltung ausgewählt haben, wird das YaST-Modul zur Benutzerverwaltung geöffnet, das Ihnen einen Überblick über alle lokalen Benutzer im System bietet. Wenn Ihr Computer Teil eines umfangreichen Netzwerks ist, klicken Sie auf Filter festlegen, um alle Benutzer nach Kategorien aufzulisten (beispielsweise root- oder NIS-Benutzer). Außerdem können Sie die Filtereinstellungen durch Klicken auf Benutzerdefinierte Filtereinstellung anpassen.

Anstatt zwischen einzelnen Benutzergruppen umzuschalten, können Sie sie nach Bedarf kombinieren. Um neue Benutzer hinzuzufügen, klicken Sie auf Hinzufügen und geben Sie die entsprechenden Daten ein. Wenn Sie auf Übernehmen klicken, wird der Vorgang abgeschlossen, und der neue Benutzer kann sich sofort mit dem neu erstellten Benutzernamen und Passwort anmelden.

Die Benutzeranmeldung kann durch Aktivieren des entsprechenden Kontrollkästchens deaktiviert werden. Eine Feineinstellung der Benutzerprofile ist durch Klicken auf den Karteireiter Details möglich. Hier können Sie Benutzer-ID, Home-Verzeichnis und Standard-Anmelde-Shell manuell festlegen und dem neuen Benutzer bestimmten Gruppen zuweisen. Konfigurieren Sie die Gültigkeit des Kennworts unter Passworteinstellungen. Durch Klicken auf Übernehmen werden alle Änderungen gespeichert.

Um einen Benutzer zu löschen, wählen Sie ihn in der Liste aus und klicken Sie auf Löschen. Aktivieren Sie das Kontrollkästchen und klicken Sie auf Ja, um den Löschvorgang wirksam werden zu lassen.

Wenn Sie eine erweiterte Benutzerverwaltung wünschen, können Sie unter Optionen für Experten die Standardeinstellungen zum Erstellen neuer Benutzer festlegen. Wählen Sie die Methode für die Benutzerauthentifizierung (NIS, LDAP, Kerberos oder Samba - alle konfigurierbar), die Anmeldeeinstellungen (nur bei KDM oder GDM) sowie den Algorithmus für die Passwortverschlüsselung aus. Standardeinstellungen für neue Benutzer und Passwortverschlüsselung gelten nur für lokale Benutzer. Unter Authentifikation und Benutzerquellen erhält der Administrator einen Konfigurationsüberblick und die Möglichkeit, den Client zu konfigurieren. Eine erweiterte Client-Konfiguration ist mit diesem Modul ebenfalls möglich (weitere Informationen zur Konfiguration des Client finden Sie im entsprechenden Abschnitt). Nach Annahme der Konfiguration wird der Administrator zum ursprünglichen Konfigurationsüberblick zurückgeleitet. Durch Klicken auf Änderungen nun schreiben werden alle Änderungen gespeichert, ohne dass das Konfigurationsmodul beendet wird.

Abbildung 3.6. Benutzerverwaltung

Benutzerverwaltung

3.6.2. Gruppenverwaltung

Starten Sie das Gruppenverwaltungsmodul über das YaST-Kontrollzentrum oder klicken Sie im Modul zur Benutzerverwaltung auf Gruppen. Beide Dialoge bieten dieselben Funktionen: Sie können Gruppen erstellen, bearbeiten und löschen.

YaST bietet einen Überblick über alle Gruppen. Um eine Gruppe hinzuzufügen, klicken Sie auf Hinzufügen und geben Sie die entsprechenden Daten ein. Die Gruppenmitglieder können durch aktivieren des entsprechenden Kontrollfelds aus der angezeigten Liste ausgewählt werden. Durch Klicken auf Übernehmen wird die Gruppe erstellt. Um eine Gruppe zu bearbeiten, wählen Sie die gewünschte Gruppe aus der Liste aus und klicken Sie auf Bearbeiten. Nehmen Sie alle erforderlichen Änderungen vor und klicken Sie auf Übernehmen, um sie zu speichern. Um eine Gruppe zu löschen, wählen Sie sie einfach in der Liste aus und klicken Sie auf Löschen. Wie beim Dialogfeld für die Benutzerverwaltung kann der Administrator die Filtereinstellungen durch Klicken auf Filter festlegen ändern. Weitere Informationen hierzu finden Sie im vorherigen Abschnitt. Unter Optionen für Experten ist eine erweiterte Gruppenverwaltung möglich. Weitere Informationen hierzu finden Sie in Abschnitt 3.6.1, „Benutzerverwaltung“.

3.6.3. Sicherheitseinstellungen

Wählen Sie unter Lokale Sicherheitskonfiguration (kann unter Sicherheit und Benutzer aufgerufen werden) eine der folgenden Optionen aus: Heim-Arbeitsstation für eigenständige Computer, Vernetzte Arbeitsstation für Arbeitsstationen mit Netzwerk oder Netzwerkserver für einen Server mit Netzwerk. Verwenden Sie Benutzerdefinierte Einstellungen für Ihre eigene Konfiguration.

Wenn Sie auf eines der ersten drei Elemente klicken, wird beim Klicken auf Beenden eine der Stufen der vorkonfigurierten Sicherheitsoptionen aktiviert. Beim Klicken auf Details oder durch Auswahl von Benutzerdefinierte Einstellungen werden einzelne Einstellungen angezeigt, die bearbeitet werden können. Mit Weiter können Sie zu den nachfolgenden Schritten weitergehen.

Passworteinstellungen

Um neue Passwörter vor der Annahme vom System überprüfen zu lassen, klicken Sie auf Neue Passwörter überprüfen und Test auf komplizierte Passwörter. Legen Sie die Passwort-Mindestlänge für neu erstellte Benutzer fest. Definieren Sie den Zeitraum, für den die Passwörter gelten sollen, und wie viele Tage im Voraus eine Ablaufwarnung ausgegeben werden soll, wenn sich der Benutzer bei der Textkonsole anmeldet.

Einstellungen für den Systemstart

Geben Sie durch Auswahl der gewünschten Aktion an, wie die Tastenkombination Strg-Alt-Entf interpretiert werden soll. Normalerweise führt diese Kombination in der Textkonsole dazu, dass das System neu gebootet wird. Sie können jedoch angeben, welcher Vorgang ausgeführt werden soll, wenn diese Tastenkombination gedrückt wird. Bearbeiten Sie diese Einstellung nur, wenn Ihr Computer oder Server öffentlich zugänglich ist und Sie befürchten, dass jemand diesen Vorgang ohne Berechtigung ausführen könnte. Bei Auswahl von Anhalten führt diese Tastenkombination zum Herunterfahren des Systems. Mit Ignorieren wird die Tastenkombination ignoriert.

Geben Sie die Einstellung für das Herunterfahren unter KDM an, indem Sie die Berechtigung erteilen, das System über den KDE-Anzeigemanager, der grafischen Anmeldefunktion von KDE, herunterzufahren. Sie können folgenden Personengruppen die Berechtigung erteilen: Nur root (Systemadministrator), Alle Benutzer, Niemand oder Lokale Benutzer. Bei Auswahl von Niemand kann das System nur über die Textkonsole heruntergefahren werden.

Einstellungen für das Anmelden

Üblicherweise ist nach einem gescheiterten Anmeldeversuch eine Wartezeit von mehreren Sekunden erforderlich, bevor eine weitere Anmeldung möglich ist. Dies erschwert Passwortschnüfflern die Anmeldung. Optional können Sie Aufzeichnung erfolgreicher Anmeldeversuche und Grafische Anmeldung von Remote erlauben aktivieren. Wenn Sie den Verdacht haben, dass jemand versucht, Ihr Passwort zu ermitteln, überprüfen Sie die Einträge in den Systemprotokolldateien in /var/log. Mit Grafische Anmeldung von Remote erlauben gewähren Sie anderen Benutzern Zugriff auf Ihren grafischen Anmeldebildschirm über das Netzwerk. Da diese Zugriffsmöglichkeit ein potenzielles Sicherheitsrisiko darstellt, ist sie standardmäßig nicht aktiviert.

Hinzufügen von Benutzern

Jeder Benutzer besitzt eine numerische und eine alphabetische Benutzer-ID. Die Korrelation zwischen diesen beiden IDs erfolgt über die Datei /etc/passwd und sollte so eindeutig wie möglich sein. Mit den Daten in diesem Bildschirm legen Sie den Zahlenbereich fest, der beim Hinzufügen eines neuen Benutzers dem numerischen Teil der Benutzer-ID zugewiesen wird. Ein Mindestwert von 500 ist für die Benutzer geeignet. Automatisch generierte Systembenutzer beginnen bei 1000. Verfahren Sie ebenso mit den Gruppen-ID-Einstellungen.

Verschiedene Einstellungen

Bei Einstellung für Dateirechte stehen drei Optionen zur Auswahl: Easy (Einfach), Sicher und Paranoid. Im YaST-Hilfetext finden Sie detaillierte Informationen zu den drei Sicherheitsstufen. Easy (Einfach) sollte für die meisten Benutzer ausreichen. Die Einstellung Paranoid ist sehr restriktiv und kann als grundlegende Betriebsstufe für Systemadministratoreinstellungen dienen. Bei Auswahl von Paranoid sollten Sie bedenken, dass einige Programme eventuell nicht mehr oder nicht mehr ordnungsgemäß arbeiten, da die Benutzer keinen Zugriff mehr auf bestimmte Dateien haben.

In diesem Dialogfeld können Sie außerdem festlegen, welcher Benutzer das Programm updatedb starten soll. Dieses Programm, das automatisch jeden Tag oder nach dem Booten ausgeführt wird, erstellt eine Datenbank (locatedb), in der der Speicherort jeder Datei auf dem Computer gespeichert wird. Bei Auswahl von Niemand können alle Benutzer nur die Pfade in der Datenbank finden, die von jedem anderen Benutzer ohne besondere Berechtigungen gesehen werden können. Bei Auswahl von root werden alle lokalen Dateien indiziert, da der Benutzer root als Superuser auf alle Verzeichnisse zugreifen kann. Vergewissern Sie sich, dass die Optionen Aktuelles Verzeichnis im Pfad des Benutzers root und Das aktuelle Verzeichnis im Pfad regulärer Benutzer deaktiviert sind. Nur fortgeschrittene Benutzer sollten in Erwägung ziehen, diese Kontrollkästchen zu aktivieren, da diese Einstellungen ein erhebliches Sicherheitsrisiko darstellen können, wenn sie falsch eingesetzt werden. Mit Magic SysRq Keys aktivieren haben Sie schließlich selbst bei einem Systemabsturz noch einen gewissen Grad an Kontrolle über das System.

Klicken Sie zum Abschließen der Sicherheitskonfiguration auf Beenden.

3.6.4. Firewall

Mit diesem Modul können Sie SUSEfirewall2 so konfiguriren, dass Ihr Computer gegen Angriffe aus dem Internet geschützt ist. Detaillierte Informationen zu SUSEfirewall2 finden Sie in Abschnitt 23.1, „Masquerading und Firewalls“ (↑Referenz).

[Tip]Automatische Aktivierung der Firewall

YaST startet automatisch eine Firewall mit geeigneten Einstellungen auf jeder konfigurierten Netzwerkschnittstelle. Starten Sie dieses Modul nur, wenn Sie die Firewall deaktivieren oder mit benutzerdefinierten Einstellungen neu konfigurieren möchten.