二  解读安全操作

　　安装完成后笔者首先进入了SUSE Linux Enterprise Server 11的核心YasT2 ，对于多媒体以及办公方面笔者感觉Linux 在最近两三年已经做得相当不错了可惜由于惯性原因还是不能占据桌面市场。还是看看笔者关心的企业级应用部分。

　　安全与用户

　　安全与用户包括七个部分：如图-3

　　图-3安全与用户

　　除了和其他Linux 发行版本 共有的 用户和组管理 ，防火墙外其他几个都比较有特色：

　　CA管理如图-4

　　图-4 新建Root CA

　　我们以前在Linux  管理CA 使用命令行工具，这里 SUSE Linux Enterprise Server 11 提供一种新的选择。当然笔者不反对使用命令行管理。不过编辑对于Linux 新用户有些困难。

　　Sudo配置如图-5 使用sudo可以让用户更加安全。

　　图-5Sudo配置

　　sudo 规则，sudo 规则可基本确定将在指定的主机（也可指定用户） 上用户可以运行哪些命令。每个规则 是由用户、主机及命令列表， 以及可选的 RunAs 规范和其他标记构成的元组。在下表中对它们 进行了汇总。 用户列表示本地用户、系统用户或用户别名。 主机列确定在主机别名所指的哪些主机或组上 用户可以运行指定的命令。 RunAs 列是 可选参数，包含用户名（或别名），其访问特权 将用于运行命令。NOPASSWD 是标记，用于确定用户运行命令前是否 需要授权。 用户可以在指定主机上运行的一组命令汇总在 命令列中。 要添加新的规则，请单击添加按钮并填写相应的 条目。用户名、主机名和命令列表不能为空。 要编辑现有规则，请从表中选择条目并单击 编辑按钮。要删除所选条目，请单击删除按钮。

　　本地安全如图-6 。

　　图 -6 本地安全

　　本地安全实际包括一组工具：密码设置 ，引导设置，登录设置，用户添加，杂项设置等等。

　　通用证书服务器如图-7

　　图-7 通用证书服务器

　　该普通服务器证书将由其它 YaST 模块使用。可以通过从文件导入证书来交换此证书。可以使用 CA 管理模块中证书部分中的导出到文件将证书写到文件中。从磁盘导入的证书必须是以含 CA 链的 PKCS12 格式写入的。也是一个比较有用的选项。

　　LAF审计框架如图-8 。

　　图-8 LAF审计框架

　　LAF审计框架即：Auditd 日志文件配置的前端界面。审计守护程序将所有相关审计事件记录到默认日志文件 /var/log/audit/audit.log 中。 事件可能来自 apparmor 内核模块或者来自使用 libaudit（例如 PAM）的应用程序或由规则（例如文件检查）产生的事件。有关规则以及添加规则的可能性的更多信息组成了对话框 auditctl 的规则。 有关日志文件设置的详细信息，可从"man auditd.conf"中获取。日志文件：输入日志文件的完整路径名 （或使用选择文件。）格式：设置 RAW 以记录所有数据或设置 NOLOG 以丢弃所有审计信息（不影响发送到发送程序的数据）。清理：说明如何将数据写入磁盘。如果设置为 INCREMANTAL，Frequency 参数将在 发出一次明确的磁盘清理前指出要写入的记录数。

　　在大小和操作框架中配置日志文件最大大小以及达到 此值时要采取的操作。如果操作设置为 ROTATE，则日志文件数指定要保留的文件数。计算机名称格式说明如何将计算机名称写入日志文件。 如果设置了用户，则使用用户定义的名称。

　　Auditd 日志文件是2.6 内核重要安全保障，笔者也是第一次使用LAF审计进行配置感觉非常方便。其他两个模块笔者用户和组管理 ，防火墙基本和其他Linux 发行版本相比各有千秋。