Глава 8. Настройка параметров безопасности с помощью YaST

Содержание

8.1. Обзор безопасности
8.2. Предопределенные настройки безопасности
8.3. Настройки пароля
8.4. Настройки загрузки
8.5. Настройки входа в систему
8.6. Добавление пользователя
8.7. Различные настройки

Аннотация

Модуль Центр Безопасности YaST предназначен для изменения настроек openSUSE связанных с безопасностью системы. Этот модуль используется для настройки таких аспектов безопасности, как вход в систему, установка пароля, опции загрузки, создание пользователей и права доступа к файлам по умолчанию. Он запускается из Центра Управления YaST Безопасность и Пользователи +Центр Безопасности. После запуска Центра Безопасности активным является диалог Обзор безопасности, остальные диалоги настроек доступны в правой панели.

8.1. Обзор безопасности

Обзор безопасности отображает понятный список самых важных настроек безопасности Вашей системы. Статус безопасности каждого пункта списка очевиден. Зеленая галка соответствует безопасным значениям, в то время как красный крест говорит о том, что значение данного пункта списка не является безопасным. Нажав Справка Вы получите обзор настроек и информацию о том, как обезопасить систему. Для изменения настроек нажмите соответствующую ссылку в колонке Состояние. В зависимости от настройки доступны следующие значения:

Включено/Выключено

Нажав на этот элемент Вы можете включить или отключить соответствующую опцию.

Настроить

Нажав на этот элемент Вы запустите соответствующий модуль YaST для изменения настроек. Вы вернетесь в диалог Обзор безопасности, как только модуль будет закрыт.

Неизвестно

Данный статус означает, что соответствующая служба не установлена. Он не является индикатором потенциальных проблем безопасности.

Рисунок 8.1. Центр безопасности YaST- Обзор безопасности

Центр безопасности YaST- Обзор безопасности

8.2. Предопределенные настройки безопасности

В openSUSE есть три предопределенных набора настроек безопасности. Эти наборы применяются ко всем настройкам модуля Центр Безопасности. Каждый из них может быть изменен по своему усмотрению используя диалоги в правой панели. Список наборов следующий:

Домашняя рабочая станция

Этот набор настроек разработан для компьютера, который не является частью локальной сети и не подключен к Интернету. Соответствует состоянию с наименьшей безопасностью.

Сетевая рабочая станция

Данная конфигурация используется для компьютера, подключенного к локальной сети либо Интернету.

Сервер сети

Конфигурация разработана для компьютера предоставляющего сетевые сервисы: вебсервера, файлового сервера, DNS сервера и т.д. Соответствует наиболее безопасным значениям настроек.

Пользовательские настройки

Если пункт Пользовательские настройки выбран при открытии диалога Предопределенные настройки безопасности это говорит о том, что значения одного из предустановленных наборов настроек были изменены. Самостоятельное переключение на этот пункт с любого другого не изменяет настроек безопасности - Вы должны изменять их с помощью диалога Обзор безопасности.

8.3. Настройки пароля

Одной из самых важных проблем безопасности являются легко подбираемые пароли. Средства диалога Настройки пароля предназначены для проверки безопасности используемых паролей.

Проверять новые пароли

Если этот пункт активирован, пользователь получит предупреждение, при использовании в качестве пароля слова из словаря или имени собственного. Для ограничения минимальной длины пароля введите ее значение в поле Минимальная приемлемая длина пароля после активации Проверять новые пароли.

Число запоминаемых паролей

Когда проверка возраста пароля активирована, эта настройка используется для сохранения заданного числа предыдущих паролей пользователя, предотвращая их повторное использование.

Метод шифрования пароля

Алгоритм шифрования пароля. Значение по умолчанию (Blowfish) обычно не требует изменений.

Возраст пароля

Проверка возраста пароля активируется путем указания минимального и максимального значений (в днях). Установовив минимальное значение больше 0 дней, вы можете запретить пользователю повторную немедленную смену пароля (и следующее за ней окончание времени жизни пароля). Для отключения проверки срока действия пароля используются значения 0 и 99999 соответственно.

Дней до предупреждения об истечении срока действия пароля

Пользователь может заблаговременно получать предупреждение об истечении срока действия пароля. В этом поле указывается количество дней до истечения срока действия пароля, по достижении которого пользователь будет получать предупреждение о необходимости сменить пароль.

8.4. Настройки загрузки

Этот диалог устанавливает, кому из пользователей разрешено выключать компьютер через менеджер авторизации. Здесь также можно указать, как будет интерпретироваться Ctrl+Alt+Delete.

8.5. Настройки входа в систему

Диалог позволяет установить настройки безопасности, связанные со входом в систему:

Задержка после неправильной попытки входа

Определяет задержку (в секундах) после неудачной попытки входа в систему. Рекомендуется установить данное значение для затруднения проникновения в систему путем перебора паролей. Поскольку эта настройка влияет на пользователей, допустивших ошибку при наборе пароля, не заставляйте их ждать повторной авторизации слишком долго.

Записывать успешные попытки входа

При включении данной опции последняя удачная попытка авторизации будет сохраняться в файл /var/log/lastlog и отображаться при последующем входе в систему. Эти данные также используются командой finger.

[Note]

Внимание! Эта опция не влияет на журнал /var/log/wtmp, который содержит дату и время всех авторизаций и перезагрузкок системы. Содержимое /var/log/wtmp отображается с помощью команды last.

Разрешить удаленный графический вход

Если включено, графический менеджер авторизации (например gdm или kdm) будет доступен из сети. Включение представляет потенциальную угрозу безопасности системы.

8.6. Добавление пользователя

Минимальные и максимальные значения идентификаторов групп и пользователей. Изменение значений по умолчанию требуется крайне редко.

8.7. Различные настройки

Здесь представлены настройки безопасности, не соответствующие остальным категориям:

Разрешения файлов

openSUSE предлагает три предустановленных уровня файловых привилегий для системных файлов. Эти наборы привилегий определяют, может ли обычный пользователь читать файлы журналов и запускать определенные программы. Уровень Легкий предназначен для системы с одним пользователем и позволяет, например, читать большинство системных файлов обычному пользователю. Полный список привилегий доступен в файле /etc/permissions.easy. Уровень Безопасный разработан для многопользовательских систем с доступом к сети. Подробное объяснение его настроек можно посмотреть в файле /etc/permissions.secure. Наиболее жестким является уровень Параноидальный, использовать который следует осторожно. Информацию об этом уровне можно получить из файла /etc/permissions.paranoid.

Пользователь, запускающий updatedb

Программа updatedb сканирует систему и создает базу данных размещения файлов, используемую командой locate. При запуске updatedb от пользователя nobody, в базу данных добавляются только файлы доступные на чтение всем пользователям. При запуске ее от пользователя root, в базу данных попадут практически все файлы (за исключение тех, к которым root не имеет доступа на чтение).

Текущий каталог в пути root / Текущий каталог в пути обычных пользователей

При запуске программы без указания полного пути к ее исполняемому файлу, система производит поиск этой программы по пути установленному переменной $PATH. По умолчанию в список директорий для поиска команды не входит текущая директория. Это необходимо для того, чтобы, например, при запуске команды ls запускалась программа /bin/ls, а не троян из /текущий каталог/ls. Для запуска программ из текущей директории к ее имени нужно добавить префикс ./. При изменении этой опции текущая директория (.) будет добавлена в путь для поиска команды. Изменять значение по умолчанию для этих опций не рекомендуется.

Магические клавиши SysRq

Волшебная кнопка SysRq - это клавиатурное сочетание, позволяющее контролировать систему, даже если в ней произошел сбой. Для получения подробной информации обратитесь к файлу /usr/src/linux/Documentation/sysrq.txt (требуется установка пакета kernel-source).