2.9. Sicherheit und Benutzer

Ein grundlegender Aspekt von Linux ist seine Mehrbenutzerfähigkeit. Somit können verschiedene Benutzer unabhängig voneinander auf demselben Linux-System arbeiten. Jeder Benutzer verfügt über ein Benutzerkonto, das durch einen Anmeldenamen und ein persönliches Passwort für die Anmeldung beim System gekennzeichnet ist. Alle Benutzer verfügen über eigene Home-Verzeichnisse, in denen persönliche Dateien und Konfigurationen gespeichert sind.

2.9.1. Benutzerverwaltung

Verwenden Sie Benutzer-Verwaltung zum Erstellen und Bearbeiten von Benutzern. Diese Funktion bietet einen Überblick über die Benutzer im System, einschließlich NIS- und LDAP-Benutzer, sofern angefordert. Wenn Ihr Computer Teil eines umfangreichen Netzwerks ist, klicken Sie auf Filter festlegen, um alle Benutzer nach Kategorien aufzulisten (beispielsweise root- oder NIS-Benutzer). Außerdem können Sie die Filtereinstellungen durch Klicken auf Benutzerdefinierte Filtereinstellung anpassen.

Um neue Benutzer hinzuzufügen, klicken Sie auf Hinzufügen und geben Sie die entsprechenden Daten ein. Schließen Sie die Hinzufügung durch Klicken auf Übernehmen ab. Der neue Benutzer kann sich sofort mit dem neu erstellten Anmeldenamen und dem Passwort anmelden.

Deaktivieren Sie die Benutzeranmeldung mit der entsprechenden Option. Die Feineinstellung der Benutzerprofile ist unter Details möglich. Hier können Sie Benutzer-ID, Home-Verzeichnis und Standard-Anmelde-Shell manuell festlegen und den neuen Benutzer bestimmten Gruppen zuweisen. Konfigurieren Sie die Gültigkeit des Passworts unter Passworteinstellungen. Durch Klicken auf Übernehmen werden alle Änderungen gespeichert.

Um einen Benutzer zu löschen, wählen Sie ihn in der Liste aus und klicken Sie auf Löschen. Markieren Sie anschließend, ob das Home-Verzeichnis gelöscht werden soll, und klicken Sie zur Bestätigung auf Ja.

Wenn Sie eine erweiterte Benutzerverwaltung wünschen, können Sie unter Optionen für Experten die Standardeinstellungen zum Erstellen neuer Benutzer festlegen. Wählen Sie die Methode für die Benutzerauthentifizierung (z. B. NIS, LDAP, Kerberos oder Samba), die Anmeldeeinstellungen (nur bei KDM oder GDM) sowie den Algorithmus für die Passwortverschlüsselung aus. Standardeinstellungen für neue Benutzer und Passwortverschlüsselung gelten nur für lokale Benutzer. Unter Authentifizierung und Benutzerquellen finden Sie einen Konfigurationsüberblick und die Möglichkeit, den Client zu konfigurieren. Außerdem kann auch die Client-Konfiguration mit diesem Modul durchgeführt werden. Kehren Sie nach der Übernahme der Konfiguration zum ursprünglichen Konfigurationsüberblick zurück. Klicken Sie auf Änderungen nun schreiben, wenn Sie alle Änderungen speichern möchten, ohne dass das Konfigurations­modul beendet wird.

2.9.2. Gruppenverwaltung

Wählen Sie zum Erstellen bzw. Bearbeiten von Gruppen die Option Sicherheit und Benutzer+Benutzer bearbeiten und anlegen aus oder klicken Sie im Modul zur Benutzerverwaltung auf Gruppen. Beide Dialoge bieten dieselben Funktionen: Sie können Gruppen erstellen, bearbeiten und löschen.

Das Modul bietet einen Überblick über alle Gruppen. Wie beim Dialogfeld für die Benutzerverwaltung können die Filtereinstellungen durch Klicken auf Filter festlegen geändert werden.

Um eine Gruppe hinzuzufügen, klicken Sie auf Hinzufügen und geben Sie die entsprechenden Daten ein. Wählen Sie die Gruppenmitglieder aus der Liste aus, indem Sie das entsprechende Kontrollkästchen markieren. Durch Klicken auf Übernehmen wird die Gruppe erstellt. Um eine Gruppe zu bearbeiten, wählen Sie die gewünschte Gruppe aus der Liste aus und klicken Sie auf Bearbeiten. Nehmen Sie alle erforderlichen Änderungen vor und speichern Sie sie mit Übernehmen. Um eine Gruppe zu löschen, wählen Sie sie einfach in der Liste aus und klicken Sie auf Löschen.

Unter Optionen für Experten ist eine erweiterte Gruppenverwaltung möglich. Weitere Informationen zu diesen Optionen finden Sie in Abschnitt 2.9.1, „Benutzerverwaltung“.

2.9.3. Lokale Sicherheit

Mit Sicherheit und Benutzer+Lokale Sicherheit können Sie eine Gruppe von Sicherheitseinstellungen auf Ihr gesamtes System anwenden. Zu diesen Einstellungen gehört die Sicherheit für Booten, Anmeldung, Passwörter, das Erstellen von Benutzern und Dateiberechtigungen. SUSE Linux beinhaltet drei vorkonfigurierte Sicherheitssätze: Heim-Arbeitsstation, Vernetzte Arbeitsstation und Vernetzter Server. Bearbeiten Sie die Standardwerte mit Details. Mithilfe von Benutzerdefinierte Einstellungen können Sie Ihr eigenes Schema erstellen.

Zu den detaillierten bzw. benutzerdefinierten Einstellungen gehören folgende Elemente:

Passworteinstellungen

Um neue Passwörter vor der Annahme vom System auf Sicherheit überprüfen zu lassen, klicken Sie auf Neue Passwörter überprüfen und Test auf komplizierte Passwörter. Legen Sie die Passwort-Mindestlänge für neu erstellte Benutzer fest. Definieren Sie den Zeitraum, für den die Passwörter gelten sollen, und wie viele Tage im Voraus eine Ablaufwarnung ausgegeben werden soll, wenn sich der Benutzer bei der Textkonsole anmeldet.

Einstellungen für den Systemstart

Legen Sie durch Auswahl der gewünschten Aktion fest, wie die Tastenkombination Strg-Alt-Entf interpretiert werden soll. Normalerweise führt diese Kombination in der Textkonsole dazu, dass das System neu gebootet wird. Bearbeiten Sie diese Einstellung nur, wenn Ihr Computer oder Server öffentlich zugänglich ist und Sie befürchten, dass jemand diesen Vorgang ohne Berechtigung ausführen könnte. Bei Auswahl von Anhalten führt diese Tastenkombination zum Herunterfahren des Systems. Mit Ignorieren wird die Tastenkombination ignoriert.

Bei Verwendung des KDE-Anmeldemanagers (KDM) können Sie die Berechtigungen für das Herunterfahren des Systems unter Einstellung für das Herunterfahren unter KDM festlegen. Sie können folgenden Personengruppen die Berechtigung erteilen: Nur root (Systemadministrator), Alle Benutzer, Niemand oder Lokale Benutzer. Bei Auswahl von Niemand kann das System nur über die Textkonsole heruntergefahren werden.

Einstellungen für das Anmelden

Üblicherweise ist nach einem gescheiterten Anmeldeversuch eine Wartezeit von mehreren Sekunden erforderlich, bevor eine weitere Anmeldung möglich ist. Dies erschwert Passwortschnüfflern die Anmeldung. Optional können Sie Aufzeichnung erfolgreicher Anmeldeversuche und Grafische Anmeldung von Remote erlauben aktivieren. Wenn Sie den Verdacht haben, dass jemand versucht, Ihr Passwort zu ermitteln, überprüfen Sie die Einträge in den Systemprotokolldateien in /var/log. Um anderen Benutzern Zugriff auf Ihren grafischen Anmeldebildschirm über das Netzwerk zu gestatten, müssen Sie Grafische Anmeldung von Remote erlauben aktivieren. Da diese Zugriffsmöglichkeit ein potenzielles Sicherheitsrisiko darstellt, ist sie standardmäßig nicht aktiviert.

Hinzufügen von Benutzern

Jeder Benutzer besitzt eine numerische und eine alphabetische Benutzer-ID. Die Korrelation zwischen diesen beiden IDs erfolgt über die Datei /etc/passwd und sollte so eindeutig wie möglich sein. Mit den Daten in diesem Bildschirm legen Sie den Zahlenbereich fest, der beim Hinzufügen eines neuen Benutzers dem numerischen Teil der Benutzer-ID zugewiesen wird. Ein Mindestwert von 500 ist für die Benutzer geeignet. Automatisch generierte Systembenutzer beginnen bei 1000. Verfahren Sie ebenso mit den Gruppen-ID-Einstellungen.

Verschiedene Einstellungen

Zur Verwendung der vordefinierten Dateiberechtigungseinstellungen wählen Sie Easy (Einfach), Sicher oder Paranoid aus. Easy (Einfach) sollte für die meisten Benutzer ausreichen. Die Einstellung Paranoid ist sehr restriktiv und kann als grundlegende Betriebsstufe für benutzerdefinierte Einstellungen dienen. Bei Auswahl von Paranoid sollten Sie bedenken, dass einige Programme eventuell nicht mehr oder nicht mehr ordnungsgemäß arbeiten, da die Benutzer keinen Zugriff mehr auf bestimmte Dateien haben.

Legen Sie außerdem fest, welcher Benutzer das Programm updatedb starten soll, sofern es installiert ist. Dieses Programm, das automatisch jeden Tag oder nach dem Booten ausgeführt wird, erstellt eine Datenbank (locatedb), in der der Speicherort jeder Datei auf dem Computer gespeichert wird. Bei Auswahl von Niemand können alle Benutzer nur die Pfade in der Datenbank finden, die von jedem anderen Benutzer ohne besondere Berechtigungen gesehen werden können. Bei Auswahl von root werden alle lokalen Dateien indiziert, da der Benutzer root als Superuser auf alle Verzeichnisse zugreifen kann. Vergewissern Sie sich, dass die Optionen Aktuelles Verzeichnis im Pfad des Benutzers root und Das aktuelle Verzeichnis im Pfad regulärer Benutzer deaktiviert sind. Nur fortgeschrittene Benutzer sollten in Erwägung ziehen, diese Optionen zu verwenden, da diese Einstellungen ein erhebliches Sicherheitsrisiko darstellen können, wenn sie falsch eingesetzt werden. Um selbst bei einem Systemabsturz noch einen gewissen Grad an Kontrolle über das System zu haben, klicken Sie auf Magic SysRq Keys aktivieren.

Klicken Sie zum Abschließen der Sicherheitskonfiguration auf Beenden.

2.9.4. Firewall

SuSEfirewall2 kann Ihren Rechner vor Angriffen aus dem Internet schützen. Konfigurieren Sie sie mit Sicherheit und Benutzer+Firewall. Detaillierte Informationen zu SuSEfirewall2 finden Sie im Abschnitt 4.1, „Masquerading und Firewalls“ (↑ Referenz ).

[Tip]Automatische Aktivierung der Firewall

YaST startet automatisch eine Firewall mit geeigneten Einstellungen auf jeder konfigurierten Netzwerkschnittstelle. Starten Sie dieses Modul nur, wenn Sie die Firewall deaktivieren oder mit benutzerdefinierten Einstellungen neu konfigurieren möchten.