MSEC: Ασφάλεια και Έλεγχοι Συστήματος
msecgui
Παρουσίαση
Το msecguiΜπορείτε να εκκινήσετε αυτό το εργαλείο από τη γραμμή εντολών,
πληκτρολογώντας msecgui ως διαχειριστής
συστήματος.
είναι ένα γραφικό περιβάλλον
χρήστη για το msec που σας επιτρέπει την διαμόρφωση της ασφάλειας του
συστήματός σας βάσει δυο προσεγγίσεων:
Ορίζει την συμπεριφορά του συστήματος, το msec επιβάλει τροποποιήσεις στο
σύστημα ούτως ώστε να το καταστήσει περισσότερο ασφαλές.
Πραγματοποιεί αυτόματα περιοδικούς ελέγχους στο σύστημα ούτως ώστε να σας
προειδοποιεί όταν κάτι φαίνεται ως επικίνδυνο.
Το msec χρησιμοποιεί τον σχεδιασμό των «επιπέδων ασφάλειας» τα οποία
σκοπεύουν στη διαμόρφωση ενός συνόλου αδειών που θα ελέγχονται για αλλαγές ή
επιβολές. Μερικές από αυτές προτείνονται από την Mageia, αλλά μπορείτε να
καθορίσετε τα δικά σας προσαρμοσμένα επίπεδα ασφάλειας.
Καρτέλα επισκόπησης
Δείτε το παραπάνω στιγμιότυπο
Η πρώτη καρτέλα εμφανίζει τον κατάλογο με τα εργαλεία ασφάλειας με ένα
κουμπί στα δεξιά για την διαμόρφωσή τους:
Τείχος προστασίας: μπορεί να προσπελαστεί και στο ΚΕM / Ασφάλεια / Ρυθμίστε
το προσωπικό σας τείχος προστασίας
Ενημερώσεις: υπάρχει επίσης στο ΚΕM / Διαχείριση του λογισμικού / Ενημέρωση
του συστήματος
Και το msec συνοδευόμενο με μερικές πληροφορίες:
ενεργοποιημένο ή όχι
Το διαμορφωμένο επίπεδο ασφάλειας
την ημερομηνία των τελευταίων περιοδικών ελέγχων και ένα κουμπί για την
προβολή μιας λεπτομερούς αναφοράς και ακόμα ένα κουμπί για την άμεση
εκτέλεση των ελέγχων.
Καρτέλα ρυθμίσεων ασφάλειας
Με κλικ στην δεύτερη καρτέλα ή στο κουμπί Διαμόρφωση
της Ασφάλειας, εμφανίζεται η παρακάτω οθόνη:
Καρτέλα βασικής ασφάλειας
Επίπεδα ασφάλειας:
Αφού έχετε επιλέξει το πλαίσιο Ενεργοποίηση του MSEC,
αυτή η καρτέλα σας επιτρέπει με διπλό κλικ να επιλέξετε το επίπεδο ασφάλειας
το οποίο εμφανίζεται με έντονα γράμματα. Αν το πλαίσιο δεν είναι επιλεγμένο,
η ιδιότητα του επιπέδου θα είναι «κανένα». Είναι διαθέσιμα τα παρακάτω
επίπεδα:
Το επίπεδο Κανένα. Αυτό το επίπεδο
χρησιμοποιείται όταν δεν επιθυμείτε την χρήση του msec για τους ελέγχους
ασφαλείας του συστήματος, και επιθυμείτε την ενεργοποίησή του κατά
βούληση. Απενεργοποιεί όλους τους ελέγχους ασφαλείας και αναιρεί κάθε
περιορισμό ή φραγμό στη διαμόρφωση και τις ρυθμίσεις του συστήματος
. Παρακαλώ χρησιμοποιήστε αυτό το επίπεδο μόνο αν είστε σε θέση να γνωρίζετε
τι κάνετε, διότι θα καταστήσει το σύστημα ευάλωτο σε επιθέσεις.
Επίπεδο standard. Αυτό είναι το εξ ορισμού
επίπεδο και προορίζεται στον μέσο χρήστη. Περιορίζει μερικές ρυθμίσεις του
συστήματος και εκτελεί καθημερινά ελέγχους ασφαλείας για τον εντοπισμό
αλλαγών στα αρχεία του συστήματος, στους λογαριασμούς και σε ευάλωτες άδειες
καταλόγων. Αυτό το επίπεδο είναι παραπλήσιο των επιπέδων 2 και 3 από
παλαιότερες εκδόσεις του msec.
Επίπεδο secure. Αυτό το επίπεδο προορίζεται
για την σίγουρη διασφάλιση του συστήματος ενώ παραμένει
χρησιμοποιήσιμο. Περιορίζει επιπλέον τις άδειες του συστήματος και εκτελεί
περισσότερους περιοδικούς ελέγχους. Ωστόσο η πρόσβαση στο σύστημα είναι
περισσότερο περιορισμένη. Αυτό το επίπεδο είναι παραπλήσιο των επιπέδων 4
(Υψηλό) και 5 (Παρανοϊκό) από παλαιότερες εκδόσεις του msec.
Παράλληλα με αυτά τα επίπεδα, παρέχεται επιπλέον διεργασιοστρεφής ασφάλεια,
όπως τα επίπεδα fileserver , webserver και netbook . Αυτά τα επίπεδα αποσκοπούν στην
προδιαμόρφωση της ασφάλειας του συστήματος βάσει των συνηθέστερων
περιπτώσεων χρήσης.
Τα τελευταία δυο επίπεδα ονομαζόμενα audit_daily
και audit_weekly δεν είναι
ακριβώς επίπεδα ασφαλείας αλλά περισσότερο εργαλεία περιοδικών ελέγχων μόνο.
Αυτά τα επίπεδα αποθηκεύονται στο
etc/security/msec/level.<levelname>. Μπορείτε να
ορίσετε τα δικά σας επίπεδα ασφάλειας, να τα αποθηκεύσετε σε συγκεκριμένα
αρχεία με την ονομασία level.<levelname>,
τοποθετημένα στον φάκελο etc/security/msec/.. Αυτή η
λειτουργία προορίζεται σε ειδήμονες χρήστες οι οποίοι χρειάζονται ένα
προσαρμοσμένο ή πιο ασφαλής διαμόρφωση συστήματος.
Έχετε υπόψιν ότι οι τροποποιημένες από τον χρήστη παράμετροι αντικαθιστούν
τις εξ ορισμού ρυθμίσεις του επιπέδου.
Ειδοποιήσεις Ασφαλείας:
Αν επιλέξετε το πλαίσιο Αποστολή των συναγερμών ασφαλείας μέσω
ηλεκτρονικής αλληλογραφίας στον:, οι συναγερμοί ασφαλείας του
msec θα στέλνονται μέσω τοπικής η· αλληλογραφίας στον διαχειριστή ασφάλειας
που προσδιορίζεται στο παραπλήσιο πεδίο. Μπορείτε να συμπληρώσετε είτε έναν
τοπικό χρήστη είτε μια πλήρης διεύθυνση ηλ. αλληλογραφίας (η τοπική
αλληλογραφία και ο διαχειριστής αλληλογραφίας θα πρέπει να έχουν ρυθμιστεί
αναλόγως). Εν τέλει, μπορείτε να λάβετε τους συναγερμούς ασφαλείας απευθείας
στην επιφάνεια εργασίας. Επιλέξτε το σχετικό πλαίσιο για να το
ενεργοποιήσετε.
Συνιστάται να ενεργοποιήσετε την επιλογή των συναγερμών ασφαλείας ούτως ώστε
να ειδοποιήσετε άμεσα τον διαχειριστή του συστήματος για ενδεχόμενα
προβλήματα ασφαλείας. Διαφορετικά, ο διαχειριστής θα πρέπει αν τακτά χρονικά
διαστήματα να ελέγχει τα αρχεία των καταγραφών διαθέσιμα στο
/var/log/security.
Επιλογές ασφαλείας:
Η δημιουργία ενός προσαρμοσμένου επιπέδου δεν είναι ο μόνος τρόπος
προσαρμογής της ασφάλειας του υπολογιστή, μπορείτε επίσης να χρησιμοποιήσετε
τις καρτέλες που παρουσιάζονται εδώ ούτως ώστε να αλλάξετε οποιαδήποτε
επιλογή επιθυμείτε. Η τρέχουσα διαμόρφωση του msec βρίσκεται στην διαδρομή
/etc/security/msec/security.conf. Αυτό το αρχείο
περιέχει το όνομα του τρέχοντος επιπέδου και μια λίστα με όλες τις
τροποποιήσεις των επιλογών.
Καρτέλα ασφάλειας συστήματος
Αυτή η καρτέλα εμφανίζει στην κολόνα της αριστερής πλευράς όλες τις επιλογές
ασφαλείας, στο κέντρο μια περιγραφή, και στην δεξιά στήλη τις τρέχουσες
τιμές.
Για να τροποποιήσετε μια επιλογή, κάντε διπλό κλικ σε αυτήν και θα
εμφανιστεί ένα νέο παράθυρο (δείτε στο παρακάτω στιγμιότυπο). Σε αυτό
εμφανίζεται το όνομα, μια σύντομη περιγραφή, οι τρέχουσες και οι εξ ορισμού
τιμές, και ένας αναπτυσσόμενος κατάλογος όπου μπορείτε να επιλέξετε μια νέα
τιμή. Κάντε κλικ στο Εντάξει για να επικυρώσετε την
επιλογή σας.
Μην ξεχάσετε κατά την έξοδο του msecgui να αποθηκεύσετε οριστικά την
διαμόρφωσή σας μέσω του μενού Αρχείο -> Αποθήκευση της
διαμόρφωσης. Αν έχετε αλλάξει τις ρυθμίσεις, το msecgui σας
επιτρέπει την προεπισκόπηση των αλλαγών πριν την αποθήκευσή τους.
Ασφάλεια δικτύου
Αυτή η καρτέλα εμφανίζει όλες τις επιλογές του δικτύου και οι λειτουργίες
είναι παρόμοιες με αυτές της προηγούμενης καρτέλας
Καρτέλα περιοδικών ελέγχων
Οι περιοδικοί έλεγχοι έχουν ως σκοπό να πληροφορούν τον διαχειριστή του
συστήματος μέσω των συναγερμών ασφαλείας όλων των καταστάσεων που το msec
θεωρεί εν δυνάμει επικίνδυνες.
Αυτή η καρτέλα εμφανίζει όλους τους πραγματοποιημένους περιοδικούς ελέγχους
του msec και την συχνότητά τους (αν το πλαίσιο Ενεργοποίηση των
περιοδικών ελέγχων ασφαλείας είναι ενεργοποιημένο). Η αλλαγή των
ρυθμίσεων γίνεται όπως και στις προηγούμενες καρτέλες.
Καρτέλα εξαιρέσεων
Μερικές φορές οι συναγερμοί αφορούν γνωστοποιημένες και θεμιτές
καταστάσεις. Σε αυτές τις περιπτώσεις η αποστολή των μηνυμάτων ασφαλείας
στον διαχειριστή είναι ανούσια και χρονοφθόρα. Αυτή η καρτέλα σας επιτρέπει
να δημιουργήσετε όσες εξαιρέσεις επιθυμείτε ούτως ώστε να αποφύγετε τους
ανεπιθύμητους συναγερμούς. Κατά την πρώτη εκτέλεση του msec δεν υπάρχουν εξ
ορισμού εξαιρέσεις. Το παρακάτω στιγμιότυπο εμφανίζει τέσσερις εξαιρέσεις.
Για να δημιουργήσετε μια εξαίρεση, κάντε κλικ στο κουμπί Προσθήκη
ενός κανόνα
Επιλέξτε τους επιθυμητούς περιοδικούς ελέγχους από τον αναπτυσσόμενο
κατάλογο με την ονομασία Έλεγχος και στη συνέχεια
εισαγάγετε την Εξαίρεση στην περιοχή του κειμένου. Η
προσθήκη μιας εξαίρεσης φυσικά δεν είναι οριστική, μπορείτε είτε να την
διαγράψετε μέσω του κουμπιού Διαγραφή της καρτέλας
των Εξαιρέσεων ή να την τροποποιήσετε με διπλό κλικ.
Άδειες
Αυτή η καρτέλα προορίζεται για τον έλεγχο και την ενίσχυση των αδειών των
αρχείων και των καταλόγων.
Όπως και με την ασφάλεια, το msec διαθέτει διαφορετικά επίπεδα αδειών
(τυπικό, ασφαλές, ...), τα οποία ενεργοποιούνται αντιστοίχως με το
επιλεγμένο επίπεδο ασφαλείας. Μπορείτε να δημιουργήσετε τα δικά σας
προσαρμοσμένα επίπεδα ασφαλείας, και να τα αποθηκεύσετε σε ιδιαίτερα αρχεία
με την ονομασία perm.<levelname> και να τα
τοποθετήσετε στον κατάλογο etc/security/msec/. Αυτή η
λειτουργία απευθύνετε σε ειδήμονες χρήστες οι οποίοι χρειάζονται μια
προσαρμοσμένη διαμόρφωση. Μπορείτε επίσης να χρησιμοποιήσετε την καρτέλα που
παρουσιάζεται εδώ για να αλλάξετε τις άδειες που επιθυμείτε. Η τρέχουσα
διαμόρφωση αποθηκεύεται στο
/etc/security/msec/perms.conf. Αυτό το αρχείο περιέχει
τον κατάλογο όλων των πραγματοποιημένων τροποποιήσεων στις άδειες.
Οι εξ ορισμού άδειες εμφανίζονται ως μια λίστα κανόνων (ένας κανόνας ανά
γραμμή). Στην αριστερή πλευρά θα βρείτε το αρχείο ή τον φάκελο που αφορά ο
κανόνας, τον ιδιοκτήτη, την ομάδα και τις άδειες που αποδίδονται από τον
κανόνα. Αν για έναν κανόνα:
το πλαίσιο Εξαναγκασμός δεν είναι επιλεγμένο, το msec
ελέγχει μόνο αν οι καθορισμένες άδειες του κανόνα λαμβάνονται υπόψη
διαφορετικά στέλνει έναν συναγερμό, χωρίς να κάνει κάποια τροποποίηση.
το πλαίσιο Εξαναγκασμός είναι επιλεγμένο, τότε το msec
θα ελέγξει αν οι άδειες του κανόνα λαμβάνονται υπόψη στον πρώτο περιοδικό
έλεγχο και θα αντικαταστήσει τις άδειες.
Για να τεθεί σε λειτουργία θα πρέπει να έχει διαμορφωθεί αναλόγως η επιλογή
CHECK_PERMS στην καρτέλα των περιοδικών
ελέγχων.Για να δημιουργήσετε ένα νέον κανόνα, κάντε κλικ στο κουμπί
Προσθήκη ενός κανόνα και συμπληρώστε τα πεδία όπως
φαίνεται στο παρακάτω παράδειγμα. Μπορείτε να χρησιμοποιήσετε το σύμβολο
υποκατάστασης * στο πεδίο Αρχείο. Το «current» σημαίνει
ότι δεν γίνεται καμιά τροποποίηση.
Για να επικυρώστε την επιλογή κάντε κλικ στο Εντάξει
και μην ξεχάσετε εγκαταλείποντας να αποθηκεύσετε οριστικά την διαμόρφωσή σας
μέσω του μενού Αρχείο -> Αποθήκευση της διαμόρφωσης. Αν
έχετε αλλάξει τις ρυθμίσεις, το msecgui σας επιτρέπει την προεπισκόπηση των
αλλαγών πριν την αποθήκευσή τους.
Μπορείτε επίσης να δημιουργήσετε ή να τροποποιήσετε τους κανόνες
επεξεργάζοντας το αρχείο της διαμόρφωσης
/etc/security/msec/perms.conf.
Οι αλλαγές στην καρτέλα των αδειών (ή
απευθείας από το αρχείο της διαμόρφωσης) λαμβάνονται υπόψιν κατά τον πρώτο
περιοδικό έλεγχο (ανατρέξτε στην επιλογή CHECK_PERMS στην καρτέλα των περιοδικών ελέγχων). Αν θέλετε να ληφθούν
υπόψη άμεσα, χρησιμοποιήστε την εντολή msecperms σε ένα τερματικό με
δικαιώματα διαχειριστή. Προηγουμένως μπορείτε να χρησιμοποιήσετε την εντολή
msecperms -p ούτως ώστε να γνωρίζετε τις άδειες που θα τροποποιηθούν μέσω
της εντολής msecperms.
Μην ξεχνάτε ότι αν τροποποιήσετε τις άδειες σε ένα τερματικό ή στον
διαχειριστή αρχείων, για ένα αρχείο του οποίου το πλαίσιο
Εξαναγκασμός είναι επιλεγμένο στην καρτέλα των αδειών, το msecgui θα επαναγράψει τις
παλαιές ρυθμίσεις μετά από λίγο, ανάλογα με την διαμόρφωση των επιλογών
CHECK_PERMS και CHECK_PERMS_ENFORCE στην καρτέλα των
περιοδικών ελέγχων.