“”显示了系统最重要的安全设置的综合列表。列表中每个条目的安全状态可见。绿色复选标记表示安全的设置,而红色叉号表示不安全的条目。单击“”以打开设置的概述以及如何使其安全的信息。要更改设置,请单击“状态”列中的相应链接。根据设置的不同,可用以下条目:
- /
单击此条目以将设置的状态切换为启用或禁用。
单击此条目以启动另一个 YaST 模块进行配置。退出模块后,您将返回“安全概述”。
当关联服务未安装时,设置的状态设置为未知。此类设置不代表潜在的安全风险。
图 17.1: YaST 安全中心和加固:安全概述 #
openSUSE Leap 包含三个 。这些配置会影响“”模块中所有设置。单击左侧面板中的“”以查看预定义的配置。单击您想要应用的配置,然后模块关闭。如果您希望修改预定义的设置,请重新打开“”模块,单击“”,然后在右侧面板中单击“”。您所做的任何更改都将应用于您选择的预定义配置。
适用于具有任何类型的网络连接(包括连接到互联网)的工作站的配置。
此设置专为连接到不同网络的笔记本电脑或平板电脑设计。
专为提供网络服务的机器(例如 Web 服务器、文件服务器、名称服务器等)设计的安全设置。此集合提供了预定义设置中最安全的配置。
选择“”以在应用后修改三个预定义配置中的任何一个。
容易猜测的密码是主要的安全性问题。“”对话框提供了确保只能使用安全密码的手段。
通过激活此选项,如果新密码出现在字典中,或者它们是专有名词(专有名词),则会发出警告。
如果用户选择的密码长度短于此处指定的值,则会发出警告。
当激活密码过期(通过“”)时,此设置会存储用户的先前密码数量,防止其重复使用。
选择密码加密算法。通常无需更改默认值(Blowfish)。
通过指定最小和最大时间限制(天数)来激活密码过期。通过将最小年龄设置为大于
0天的值,可以防止用户立即再次更改密码(从而绕过密码过期)。使用值0和99999以停用密码过期。当密码过期时,用户会提前收到警告。指定应发出警告的到期日期之前的天数。
此对话框允许您配置与安全相关的登录设置
为了使猜测用户密码变得困难,通过重复登录,建议延迟在不正确的登录后显示登录提示。指定秒数。确保密码输入错误的用户无需等待太久。
选中后,图形登录管理器 (GDM) 可以从网络访问。这是一个潜在的安全风险。
其他安全设置,不符合上述类别,在此处列出
openSUSE Leap 带有系统文件的三个预定义文件权限集。这些权限集定义了常规用户是否可以读取日志文件或启动某些程序。 “”文件权限适用于独立机器。这些设置允许常规用户读取大多数系统文件。有关完整配置,请参阅文件
/etc/permissions.easy。 “”文件权限专为具有网络访问权限的多用户机器设计。可以在/etc/permissions.secure中找到这些设置的详细说明。“”设置是最严格的,应谨慎使用。有关更多信息,请参阅/etc/permissions.paranoid。程序
updatedb扫描系统并创建所有文件的数据库,可以使用命令locate查询。当updatedb作为用户 nobody 运行时,只有世界可读的文件才会添加到数据库中。当作为用户root运行时,几乎所有文件(root 不允许读取的文件除外)都会被添加。魔术 SysRq 键是一种键组合,即使系统崩溃,也能让您对系统进行一定程度的控制。完整的文档可以在 https://linuxkernel.org.cn/doc/html/latest/admin-guide/sysrq.html 找到。