Configurer la sécurité, les droits et la surveillance du système
msecgui
Présentation
MSECGUIIl est possible de démarrer cet outil depuis la ligne de commande, en tapant
msecgui sous root.
est une interface graphique
pour MSEC qui permet de configurer votre système de sécurité selon deux
approches :
Il règle le comportement du système, MSEC applique des modifications
obligatoires au système pour le rendre plus sûr.
Il paramètre des vérifications périodiques et automatiques du système afin
de vous avertir si quelquechose semble dangereux.
Msec utilise le concept de "niveaux de sécurité", qui servent à configurer
un ensemble d'autorisations du système. Ces autorisations peuvent être
contrôlées pour être modifiées ou confirmées. Plusieurs niveaux sont
proposés par Mageia, mais vous pouvez définir vos propres niveaux de
sécurité personnalisés.
Vue générale
Voir la copie d'écran ci-dessus.
Le premier onglet affiche la liste des différents outils de sécurité avec un
bouton sur le côté droit pour permettre de les configurer :
Pare-feu, accessible également dans le CCM / Sécurité / Configurer votre
pare-feu personnel
Mises à jour, accessible également dans le CCM / Gestion des logiciels /
Mettre à jour votre système
Sécurité, c'est-à-dire Msec lui-même en plus de quelques informations :
activé ou non
le niveau de sécurité de base actuel
La date des dernières vérifications périodiques, avec un bouton pour
consulter un rapport détaillé et un autre bouton pour exécuter immédiatement
les vérifications.
Onglet Paramètres de sécurité
Un clic sur le deuxième onglet ou sur le bouton
Configurer de Sécurité affiche l'écran ci-dessous.
Onglet Sécurité de base
Niveaux de sécurité :
Après avoir coché la case Activer l'outil MSEC, cet
onglet vous permet de sélectionner votre niveau de sécurité grâce à un
double-clic. Ce niveau s'affiche alors en gras. Si la case n'est pas cochée,
le niveau "Aucun" s'applique. Les niveaux suivants sont disponibles :
Niveau aucun. Ce niveau s'applique si vous
ne désirez pas utiliser Msec pour contrôler la sécurité de votre système, et
que vous préférez le faire par vous-même. Il désactive toutes les
vérifications de sécurité, n'impose aucune restriction ou contrainte sur les
paramètres et la configuration de votre système. N'utlisez ce niveau que si
vous savez ce que vous faites, car il laissera votre système vulnérable à
une attaque.
Niveau standard. Ceci est la configuration
par défaut, destinée aux utilisateurs habituels. Il impose des contraintes à
plusieurs paramètres du système et exécute des vérification de sécurité
quotidiennes. Celles-ci détectent des modifications dans le système de
fichiers, dans les comptes des utilisateurs, ainsi que des droits de
répertoire vulnérables (ce niveau est identique aux niveaux 2 et 3 des
versions précédentes de Msec).
Niveau secure. Ce niveau vous assure que
votre système est sécurisé, mais toujours utilisable au quotidien. Il limite
les autorisations du système et exécute des vérifications périodiques plus
nombreuses. En outre, l'accès à votre système est plus restreint (ce niveau
est similaire aux niveaux 4 - High - et 5 - Paranoid - des versions
précédentes de Msec).
A côté de ces niveaux, d'autres spécifiques à certaines tâches sont
également proposés, tels que les niveaux fileserver
, webserver et netbook. Ces derniers pré-configurent la sécurité du
système selon les cas d'utilisation les plus courants.
Les deux derniers niveaux dénommés audit_daily et audit_weekly ne sont pas vraiment des niveaux de
sécurité mais plutôt des outils dédiés à réaliser uniquement des
vérifications périodiques.
Ces niveaux sont sauvegardés dans
etc/security/msec/level.<levelname>. Vous pouvez
définir vos propres niveaux de sécurité personnalisés, puis les sauvegarder
dans des fichiers spécifiques dénommés
level.<levelname> et placés dans le répertoire
etc/security/msec/. Cette fonctionnalité est dédiée aux
utilisateurs experts qui veulent une configuration système personnalisée ou
plus sécurisée.
Gardez à l'esprit que les paramètres modifiés par l'utilisateur ont la
priorité sur les réglages par défaut.
Alertes de sécurité :
Si vous cochez la case Envoi d'alertes de sécurité par courriel à
:, les alertes de sécurité générées par Msec sont adressées par
un courriel local à l'administrateur de sécurité indiqué dans le champ
voisin. Vous pouvez y saisir soit un utilisateur local soit une adresse de
courriel complète (le courriel local et le gestionnaire de courriel doivent
avoir été paramétrés en conséquence). En outre, vous pouvez recevoir les
alertes de sécurité directement sur votre bureau. Cochez la case
correspondante pour activer cette fonctionnalité.
Il est fortement recommandé d'activer l'option des alertes de sécurité afin
d'informer immédiatement l'administrateur de sécurité de possibles
problèmes. Dans le cas contraire, l'administrateur devra vérifier
régulièrement les fichiers de journaux disponibles dans
/var/log/security.
Options de sécurité :
Créer un niveau spécifique n'est pas l'unique moyen de personnaliser la
sécurité de l'ordinateur, il est également possible d'utiliser les onglets
présentés ci-après pour modifier l'option désirée. La configuration actuelle
de Msec est sauvegardée dans
/etc/security/msec/security.conf. Ce fichier contient
le nom du niveau de sécurité en cours et la liste de toutes les
modifications apportées aux options.
Onglet Sécurité du système
Cet onglet affiche toutes les options de sécurité sur la colonne de gauche,
leurs descriptions dans la colonne centrale et leurs valeurs actuelles dans
la colonne de droite.
Pour modifier une option, double-cliquer sur elle et une nouvelle fenêtre
apparaît (voir l'image ci-dessous). Elle affiche le nom de l'option, une
courte description, les valeurs actuelle et par défaut, ainsi qu'une liste
déroulante pour sélectionner une nouvelle valeur. Cliquer sur le bouton
OK pour valider votre choix.
En quittant Msecgui, n'oubliez pas de sauvegarder définitivement votre
configuration en utilisant le menu Fichier -> Sauvergarder la
configuration. Si vous avez modifié des paramètres, Msecgui vous
permettra de prévisualiser les changements avant de les sauvegarder.
Sécurité du Réseau
Cet onglet affiche toutes les options de sécurité du réseau et se paramètre
comme l'onglet précédent.
Onglet Vérifications périodiques
Les vérifications périodiques ont pour but d'informer l'administrateur par
le biais d'alertes de sécurité, pour toutes les situations que Msec estime
potentiellement dangeureuses.
Cet onglet affiche toutes les vérifications périodiques effectuées par Msec
ainsi que leur fréquence, lorsque la case Activer les
vérifications périodiques est cochée. Les modifications sont
appliquées comme dans les onglets précédents.
Onglet Exceptions
Parfois les messages d'alertes sont dûs à des cas connus et voulus. Dans ces
cas ces messages sont peu utiles et une perte de temps pour
l'administrateur. Cet onglet vous permet de créer autant d'exceptions que
vous le voulez pour éviter des messages d'alertes indésirables. Il est
évidemment vide au premier démarrage de Msec.
Pour créer une exception, cliquer sur le bouton Ajouter une
règle
Sélectionnez la vérification périodique voulue dans la liste déroulante
Vérification puis saisissez l'
Exception dans la zone de texte. Ajouter une exception n'est
évidemment pas définitif, vous pouvez également la supprimer en utilisant le
bouton Supprimer de l'onglet
Exceptions ou la modifier avec un double-clic.
Autorisations
L'onglet est dédié à la vérification et à la confirmation des permissions
des répertoires et des fichiers.
Comme pour la sécurité, Msec possède différents niveaux de permissions
(standard, secure, ..). Ils sont activés en fonction du niveau de sécurité
choisi. Vous pouvez créer vos propres niveaux de permissions personnalisés,
en les sauvegardant dans des fichiers spécifiques dénommés
perm.<levelname> et placés dans le répertoire
etc/security/msec/. Cette fonctionnalité est destinée
aux utilisateurs experts qui veulent une configuration personnalisée. Il est
également possible d'utiliser cet onglet pour modifier toutes les
permissions à votre convenance. La configuration actuelle est sauvegardée
dans /etc/security/msec/perms.conf.. Ce fichier
contient la liste de toutes les modifications apportées aux permissions.
Les permissions par défaut sont affichées dans une liste de règles (une
règle par ligne). Vous pouvez voir sur le côté gauche le fichier ou le
répertoire concerné par la règle, suivi du propriétaire, du groupe, puis des
permissions accordées par la règle. Si, pour une règle donnée :
La case Forcer n'est pas cochée, MSEC vérifie alors
uniquement si les permissions définies pour cette règle sont respectées et
envoie un message d'alerte dans le cas contraire, mais ne modifie rien.
La case Forcer est cochée, MSEC ne respectera donc pas
les permissions à la première vérification périodique et les écrasera.
Pour que cela fonctionne, l'option CHECK_PERMS dans l'onglet de vérification périodique emphasis> doit être
configuré en conséquence.Pour créer une nouvelle règle, cliquer sur le bouton Ajouter une
règle et renseigner les champs comme indiqué dans l'exemple
ci-dessous. Le caractère joker * est autorisé dans le champ
Fichier. “Actuel" signifie aucune modification.
Cliquer sur le bouton Valider pour confirmer votre
choix. Ne pas oublier, en quittant Msecgui, de sauvegarder définitivement
votre configuration par le menu Fichier -> Sauvegarder la
configuration. Si vous avez modifié les paramètres, Msecgui vous
permettra de prévisualiser les changements avant de les sauvegarder.
Il est également possible de créer ou de modifier les paramètres en éditant
le fichier de configuration
/etc/security/msec/perms.conf.
Les modifications dans l'onglet Permissions
(ou directement dans le fichier de configuration) sont prises en compte à la
première vérification périodique (voir l'option CHECK_PERMS dans l'onglet
Vérifications périodiques). Si vous voulez
qu'elles soient prises en compte immédiatement, utiliser la commande
msecperms dans une console avec les droits
d'administrateur. Vous pouvez utiliser auparavant la commande msecperms -p pour connaître les permissions qui
seront modifiées par msecperms.
N'oubliez pas que si vous modifiez les droits - dans une console ou un
gestionnaire de fichiers - d'un fichier dont la case
Forcer est cochée dans l'onglet Permissions, Msecgui rétablira les anciennes
permissions après un certain temps, selon la configuration des options
CHECK_PERMS et CHECK_PERMS_ENFORCE dans l'onglet vérifications périodiques.