在安装过程中,您可能为系统创建了一个本地用户。使用 YaST 模块 ,您可以添加用户或编辑现有用户。它还允许您配置系统以使用网络服务器对用户进行身份验证。
要管理用户或组,请启动 YaST 并单击 › 。或者,可以通过在命令行中运行 sudo yast2 users & 直接启动 对话框。
图 5.1: YaST 用户和组管理 #
每个用户都分配了一个系统范围内的用户 ID (UID)。除了可以登录到您的机器的用户之外,还有一些仅供内部使用的 系统用户。每个用户都分配到一个或多个组。与 系统用户 类似,也有一些仅供内部使用的 系统组。
主窗口显示几个选项卡,具体取决于您选择查看和修改的用户集(本地用户、网络用户、系统用户)。这些选项卡允许您执行以下任务
- 管理用户帐户
从 选项卡创建、修改、删除或临时禁用用户帐户,如 第 5.2 节,“管理用户帐户” 中所述。了解有关强制执行密码策略、使用加密的主目录或管理磁盘配额的高级选项,请参阅 第 5.3 节,“用户帐户的其他选项”。
- 更改默认设置
本地用户帐户是根据在 选项卡上定义的设置创建的。了解如何更改默认组分配,或主目录的默认路径和访问权限,请参阅 第 5.4 节,“更改本地用户的默认设置”。
- 将用户分配到组
了解如何在 第 5.5 节,“将用户分配到组” 中更改单个用户的组分配。
- 管理组
从 选项卡,您可以添加、修改或删除现有组。有关如何执行此操作的信息,请参阅 第 5.6 节,“管理组”。
- 更改用户身份验证方法
当您的机器连接到提供用户身份验证方法(如 NIS 或 LDAP)的网络时,您可以在 选项卡之间选择几种身份验证方法。有关更多信息,请参阅 第 5.7 节,“更改用户身份验证方法”。
对于用户和组管理,该对话框提供类似的功能。您可以选择对话框顶部的相应选项卡,轻松地在用户和组管理视图之间切换。
筛选选项允许您定义要修改的用户或组集:在 或 选项卡上,单击 以查看和编辑用户或组。它们根据某些类别列出,例如 或 (如果适用)。使用 › ,您还可以设置和使用自定义筛选器。
根据您选择的筛选器,对话框中的并非所有以下选项和功能都可用。
YaST 允许您创建、修改、删除或临时禁用用户帐户。除非您是经验丰富的用户或管理员,否则请勿修改用户帐户。
注意:更改现有用户的用户 ID
文件所有权与用户 ID 绑定,而不是与用户名绑定。用户 ID 更改后,用户主目录中的文件将自动调整以反映此更改。但是,在 ID 更改后,用户不再拥有他们在文件系统中其他位置创建的文件,除非手动修改这些文件的文件所有权。
以下说明演示如何设置默认用户帐户。有关更多选项,请参阅 第 5.3 节,“用户帐户的其他选项”。
过程 5.1: 添加或修改用户帐户 #
打开 YaST 对话框并单击 选项卡。
使用 定义要管理的用户集。该对话框列出了系统中的用户以及用户所属的组。
要修改现有用户的选项,请选择一个条目并单击 。
要创建新用户帐户,请单击 。
在第一个选项卡上输入适当的用户数据,例如 (用于登录)和 。这些数据足以创建一个新用户。如果您现在单击 ,系统将自动分配一个用户 ID 并将所有其他值设置为默认值。
如果希望系统通知发送到此用户的邮箱,请激活 。这将为
root创建一个邮件别名,用户无需先以root身份登录即可阅读系统邮件。系统服务发送的邮件存储在本地邮箱
/var/spool/mail/USERNAME 中,其中 USERNAME 是所选用户的登录名。要阅读电子邮件,可以使用mail命令。要调整用户 ID 或用户主目录的路径等进一步的详细信息,请在 选项卡上进行调整。
如果您需要重新定位现有用户的主目录,请在此处输入新主目录的路径,并使用 移动当前主目录的内容。否则,将创建一个新的主目录,而不包含任何现有数据。
要强制用户定期更改密码或设置其他密码选项,请切换到 并调整选项。有关详细信息,请参阅 第 5.3.2 节,“强制执行密码策略”。
如果所有选项都已根据您的意愿设置,请单击 。
单击 以关闭管理对话框并保存更改。现在,新添加的用户可以使用您创建的登录名和密码登录系统。
或者,要保存所有更改而不退出 对话框,请单击 › 。
警告:请勿重命名 root 帐户
虽然从技术上讲可以重命名 root 帐户,但某些应用程序、脚本或第三方产品可能依赖于名为 root 的用户的存在。虽然这种配置始终针对单个环境,但必要的调整可能会被供应商更新覆盖,因此这成为一项持续的任务,而不是一次性设置。这在涉及第三方应用程序的复杂设置中尤其如此,需要验证与每个相关供应商是否支持重命名 root 帐户。
由于无法预见重命名 root 帐户的影响,SUSE 不支持重命名 root 帐户。
通常,重命名 root 帐户的目的是隐藏它或使其不可预测。但是,/etc/passwd 需要常规用户具有 644 权限,因此系统中的任何用户都可以检索用户 ID 0 的登录名。有关更好地保护 root 帐户的方法,请参阅 “安全和加固指南”丛书,第 14 章“用户管理”,第 14.5 节“限制 root 登录” 和 “安全和加固指南”丛书,第 14 章“用户管理”,第 14.5.3 节“限制 SSH 登录”。
提示:匹配用户 ID
将(本地)用户 ID 与网络中的 ID 匹配会很有用。例如,笔记本电脑上的新(本地)用户应与具有相同用户 ID 的网络环境集成。这可确保用户在“离线”创建的文件所有权与他们直接在网络上创建的文件所有权相同。
过程 5.2: 禁用或删除用户帐户 #
打开 YaST 对话框并单击 选项卡。
要临时禁用用户帐户而不删除它,请从列表中选择用户并单击 。激活 。在您重新启用帐户之前,用户无法登录到您的机器。
要删除用户帐户,请从列表中选择用户并单击 。选择是否还要删除用户的家目录或保留数据。
除了默认用户帐户的设置之外,openSUSE® Leap 还提供更多选项。例如,强制执行密码策略、使用加密的主目录或为用户和组定义磁盘配额的选项。
如果您使用 GNOME 桌面环境,您可以为某个用户配置 自动登录,并为所有用户配置 无密码登录。自动登录会导致用户在启动时自动登录到桌面环境。此功能一次只能为一个用户激活。无密码登录允许所有用户在登录管理器中输入用户名后登录到系统。
警告:安全风险
在可以被多个人访问的机器上启用 自动登录 或 无密码登录 存在安全风险。无需身份验证,任何用户都可以访问您的系统和数据。如果您的系统包含机密数据,请不要使用此功能。
要激活自动登录或无密码登录,请在 YaST 中使用 › 访问这些功能。
在具有多个用户的任何系统中,强制执行至少基本的密码安全策略是一个好主意。用户应定期更改密码,并使用不易被利用的强密码。对于本地用户,请按以下步骤操作
过程 5.3: 配置密码设置 #
打开 YaST 对话框并选择 选项卡。
选择用户并单击 。
切换到 选项卡。用户的上次密码更改显示在该选项卡上。
要让用户在下次登录时更改密码,请激活 。
要强制密码轮换,请设置 和 。
要提醒用户在密码到期前更改密码,请设置 。
要限制用户在密码到期后可以登录的时间,请更改 中的值。
您还可以指定完整的帐户的特定到期日期。以 YYYY-MM-DD 格式输入 。此设置与密码无关,而是适用于帐户本身。
有关选项和默认值的更多信息,请单击 。
使用 应用您的更改。
为了防止系统容量在没有通知的情况下耗尽,系统管理员可以为用户或组设置配额。可以为一个或多个文件系统定义配额,并限制可以使用的磁盘空间量以及可以创建的 inode(索引节点)的数量。Inode 是文件系统上的数据结构,用于存储有关常规文件、目录或其他文件系统对象的基本信息。它们存储文件系统对象的全部属性(如用户和组所有权、读、写或执行权限),但不包括文件名和内容。
openSUSE Leap 允许使用 软 和 硬 配额。此外,还可以定义允许用户或组在一段时间内超出其配额的宽限时间间隔。
- 软配额
定义一个警告级别,在该级别下会通知用户他们即将达到其限制。管理员可能会敦促用户清理并减少分区上的数据。软配额限制通常低于硬配额限制。
- 硬配额
定义拒绝写入请求的限制。达到硬配额后,无法再存储任何数据,应用程序可能会崩溃。
- 宽限期
定义软配额溢出与发出警告之间的时间。通常设置为一到几个小时的较低值。
过程 5.4: 为分区启用配额支持 #
要为特定用户和组配置配额,首先需要在 YaST 专家分区程序中为相应的分区启用配额支持。
在 YaST 中,选择 › ,然后单击 以继续。
在 中,选择要启用配额的分区,然后单击 。
单击 并激活 。如果尚未安装
quota包,则在您使用 确认相应的消息时会安装它。确认您的更改并退出 。
通过输入以下命令,确保服务
quotaon正在运行>sudosystemctl status quotaon.service它应该标记为
active(活动)。如果不是这种情况,请使用命令systemctl start quotaon.service启动它。
过程 5.5: 为用户或组设置配额 #
现在,您可以为特定用户或组定义软配额或硬配额,并设置时间段作为宽限时间间隔。
在 YaST 中,选择要设置配额的用户或组,然后单击 。
在 选项卡上,选择 条目,然后单击 以打开 对话框。
从 中,选择应应用配额的分区。
在 下方,限制磁盘空间量。输入用户或组可以在此分区上拥有的 1 KB 块数。指定 和 值。
此外,您可以限制用户或组可以在分区上拥有的 inode 数量。在 下方,输入 和 。
只有当用户或组已经超出为大小或 inode 指定的软限制时,才能定义宽限时间间隔。否则,与时间相关的文本框将不会被激活。指定用户或组允许超出上述限制的时间段。
使用 确认您的设置。
单击 关闭管理对话框并保存更改。
或者,要保存所有更改而不退出 对话框,请单击 › 。
openSUSE Leap 还提供命令行工具,如 repquota 或 warnquota。系统管理员可以使用这些工具来控制磁盘使用情况或向超出其配额的用户发送电子邮件通知。使用 quota_nld,管理员还可以将有关超出配额的内核消息转发到 D-BUS。有关更多信息,请参阅 repquota、warnquota 和 quota_nld 手册页。
在创建新的本地用户时,YaST 会使用几个默认设置。这些设置包括用户所属的组,或用户主目录的访问权限。您可以更改这些默认设置以满足您的要求
打开 YaST 对话框,然后选择 选项卡。
要更改新用户应自动所属的组,请从 中选择另一个组。
如果不想使用
/home/USERNAME作为新用户主目录的默认路径,请修改 。要更改新创建的主目录的默认权限模式,请调整 中的 umask 值。有关 umask 的更多信息,请参阅 “安全和加固指南”书籍,第 19 章“Linux 中的访问控制列表” 和
umask手册页。有关各个选项的信息,请单击 。
使用 应用您的更改。
本地用户根据 对话框的 选项卡中的默认设置分配到几个组。在以下内容中,了解如何修改单个用户的组分配。如果您需要更改新用户的默认组分配,请参阅 第 5.4 节,“更改本地用户的默认设置”。
过程 5.6: 更改用户的组分配 #
打开 YaST 对话框,然后单击 选项卡。它列出了用户以及用户所属的组。
单击 并切换到 选项卡。
要更改用户所属的组,请单击 并从列表中选择该组。
要将用户分配到其他辅助组,请在 列表中激活相应的复选框。
单击 以应用您的更改。
单击 关闭管理对话框并保存更改。
或者,要保存所有更改而不退出 对话框,请单击 › 。
使用 YaST,您可以轻松添加、修改或删除组。
过程 5.7: 创建和修改组 #
打开 YaST 对话框,然后单击 选项卡。
使用 定义要管理的组集。该对话框列出了系统中的组。
要创建新组,请单击 。
要修改现有组,请选择该组,然后单击 。
在以下对话框中,输入或更改数据。右侧的列表显示了所有可用用户和系统用户的概述,这些用户可以成为该组的成员。
要将现有用户添加到新组,请从 列表中选择它们,通过选中相应的框。要将它们从组中删除,请取消选中该框。
单击 以应用您的更改。
单击 关闭管理对话框并保存更改。
或者,要保存所有更改而不退出 对话框,请单击 › 。
要删除组,它不应包含任何组员。要删除组,请从列表中选择它,然后单击 。单击 关闭管理对话框并保存更改。或者,要保存所有更改而不退出 对话框,请单击 › 。
当您的机器连接到网络时,您可以更改身份验证方法。可用的选项如下
- NIS
用户在 NIS 服务器上集中管理,适用于网络中的所有系统。有关详细信息,请参阅 “安全和加固指南”书籍,第 3 章“使用 NIS”。
- SSSD
系统安全服务守护程序 (SSSD) 可以本地缓存用户数据,然后允许用户使用该数据,即使实际目录服务暂时不可用。有关详细信息,请参阅 “安全和加固指南”书籍,第 4 章“使用 YaST 设置身份验证客户端”,第 4.2 节“SSSD”。
- Samba
SMB 身份验证通常用于混合 Linux 和 Windows 网络。有关详细信息,请参阅 “安全和加固指南”书籍,第 7 章“Active Directory 支持”。
要更改身份验证方法,请按以下步骤操作
在 YaST 中打开 对话框。
单击 选项卡以显示可用身份验证方法和当前设置的概述。
要更改身份验证方法,请单击 并选择要修改的身份验证方法。这将直接带您到 YaST 中的客户端配置模块。有关配置适当客户端的信息,请参阅以下部分
NIS: “安全和加固指南”书籍,第 3 章“使用 NIS”,第 3.2 节“配置 NIS 客户端”
LDAP: “安全和加固指南”书籍,第 4 章“使用 YaST 设置身份验证客户端”,第 4.1 节“使用 YaST 配置身份验证客户端”
SSSD: “安全和加固指南”书籍,第 4 章“使用 YaST 设置身份验证客户端”,第 4.2 节“SSSD”
接受配置后,返回到 概述。
单击 关闭管理对话框。
默认情况下,openSUSE Leap 创建无法删除的用户名。这些用户通常在 Linux 标准库中定义。以下列表提供了常见的用户名及其用途
默认安装的常见用户名 #
bin,daemon遗留用户,包含用于与遗留应用程序兼容。新的应用程序不应再使用此用户名。
gdm由 GNOME 显示管理器 (GDM) 使用,用于提供图形登录并管理本地和远程显示。
lp由打印守护程序用于 Common Unix Printing System (CUPS)。
mail为邮件程序(如
sendmail或postfix)保留的用户。man用于访问手册页。
messagebus用于访问 D-Bus(桌面总线),一种用于进程间通信的软件总线。守护程序是
dbus-daemon。nobody不拥有任何文件且不在任何特权组中的用户。如今,其使用受到限制,因为 Linux 标准库建议为每个守护程序提供单独的用户帐户。
nscd由名称服务缓存守护程序使用。此守护程序是一个查找服务,可提高 NIS 和 LDAP 的性能。守护程序是
nscd。polkitd由 PolicyKit 授权框架使用,该框架定义和处理非特权进程的授权请求。守护程序是
polkitd。postfix由 Postfix 邮件程序使用。
pulse由 Pulseaudio 音频服务器使用。
root由系统管理员使用,提供所有适当的权限。
rpc由
rpcbind命令使用,这是一个 RPC 端口映射器。rtkit由 rtkit 包使用,该包提供用于实时调度模式的 D-Bus 系统服务。
salt用于 Salt 提供的并行远程执行的用户。守护程序名为
salt-master。scard用于与智能卡和读卡器通信的用户。守护程序名为
pcscd。srvGeoClue由 GeoClue D-Bus 服务使用,用于提供位置信息。
sshd由安全 Shell 守护进程 (SSH) 使用,以确保在不安全网络上的安全加密通信。
statd由网络状态监控协议 (NSM) 使用,该协议在
rpc.statd守护进程中实现,用于监听重启通知。systemd-coredump由
/usr/lib/systemd/systemd-coredump命令使用,用于获取、保存和处理核心转储。systemd-network由
/usr/lib/systemd/systemd-networkd命令使用,用于管理网络。systemd-timesync由
/usr/lib/systemd/systemd-timesyncd命令使用,用于将本地系统时钟与远程网络时间协议 (NTP) 服务器同步。
默认情况下,SLE 会创建多个用户组,这些组由系统服务使用。以下列表描述了所需和常用可选组的示例。
root具有所有权限的管理组。
bin为了与遗留应用程序兼容而包含。新的应用程序不应使用此组。
daemon以前用于限制守护进程对系统的访问。守护进程现在应该在其自己的 UID/GID 下运行,以将守护进程彼此分离。
audio音频设备的权限。
gdmGNOME 显示管理器的权限。
chrony时间同步服务的权限。
kvmQEMU 机器模拟工具包的权限。
libvirt虚拟化堆栈的权限。
lp打印操作的权限。
mail邮件服务的权限。
man特定于手册页和
man命令的权限。sshdSSH 通信协议守护进程的权限。