MSEC: システムのセキュリティと監査
msecgui
説明
msecguiこのツールはコマンド ラインから開始でき、msecgui を root
として入力します。
は msec のグラフィック ユーザ
インターフェースで、これは二つのアプローチでシステムのセキュリティを設定できるようにするものです:
システムの動作を設定し、msec はシステムに対してより安全になるような変更を適用します。
何か危険に思われることがあった場合に警告するために自動的に定期チェックを行います。
msec は "セキュリティ レベル" の概念を用いており、変更や強制を監査可能なシステム権限のセットを設定することが意図されています。それらの幾つかは
Mageia によって提案されるものですが、自分でカスタマイズしたセキュリティ レベルを定義することも可能です。
概要タブ
上のスクリーンショットを参照
最初のタブには異なるセキュリティ ツール群の一覧があり、右側のボタンでそれらを設定することができます:
ファイアウォール, MCC / セキュリティ / 個人用ファイアウォールの設定 でも見つかります
更新, MCC / ソフトウェアの管理 / システムを更新 でも見つかります
msec 自体の幾つかの情報:
有効か無効
設定された基本セキュリティ レベル
前回の定期チェックの日時と詳細結果を見るためのボタンとすぐにチェックを実行するための別のボタン。
セキュリティ設定タブ
二つめのタブもしくはセキュリティの設定ボタンをクリックすると下と同じ画面に切り替わります。
基本セキュリティ タブ
セキュリティ レベル:
MSEC ツールを有効にするにチェックした後、このタブでは太字で表示されるセキュリティ
レベルをダブルクリックで選択することができます。このボックスがチェックされていない場合、レベル « none »
が適用されます。以下のレベルが利用可能です:
レベル none。このレベルはシステムのセキュリティを制御するのに msec
を使用することを望まず、自分でチューニングすることを好む場合が意図されます。これはすべてのセキュリティ
チェックを無効化し、システムの設定に一切の制限を行いません。システムを攻撃に対して脆弱にしてしまうため、このレベルは何をしているのか分かっている場合にのみ使用してください。
レベル standard。これはインストール時の既定の設定でかつ普通のユーザ向けを意図しています。これは幾つかのシステム設定を強制し、システム
ファイル, システム アカウント, 脆弱なディレクトリ パーミッションにおける変更を検出するセキュリティ チェックを日ごとに実行します
(このレベルは過去の msec のバージョンのレベル 2 と 3 に近いです)。
レベル secure。このレベルはシステムを確実に安全でかつ使えるものにしたい場合を意図しています。これはシステムのパーミッションを更に制限し、より多くの定期チェックを行います。その上で、システムへのアクセスはより制限されます
(このレベルは過去の msec のバージョンのレベル 4 (High) と 5 (Paranoid) に近いです)。
これらのレベルに加え、fileserver, webserver, netbook
のような異なるタスク志向のセキュリティも提供されます。このようなレベルは最も一般的な用途に従ってシステムのセキュリティを事前に設定しようとします。
最後の audit_daily と audit_weekly と呼ばれる二つのレベルは実際にはセキュリティ
レベルではありませんが、ツールが定期チェックを行うのみのものとなります。
これらのレベルは etc/security/msec/level.<levelname>
に保存されます。カスタマイズされたセキュリティ
レベルを定義することも可能で、level.<levelname> というファイル群にそれらを
etc/security/msec/
フォルダの中に配置します。この機能はカスタマイズされた、もしくはより安全なシステム設定を要求するパワー ユーザ向けに意図されています。
ユーザに変更されたパラメータは既定のレベルの設定よりも優先されるということを心に留めておいてください。
セキュリティ警告:
セキュリティ警告をメールで送る: にチェックした場合、msec
によって生成されたセキュリティ警告がローカルのメールですぐそばのフィールドに入力されたセキュリティ管理者宛に送られます。ローカルのユーザか完全なメール
アドレスのいずれかを入力できます (ローカルのメールとメール
マネージャが適切に設定されていなければなりません)。最後に、セキュリティ警告はお使いのデスクトップ上で直接受け取ることができます。適切なボックスにチェックすると有効になります。
セキュリティ警告の設定項目は起こりうるセキュリティ問題をセキュリティ管理者へ即座に知らせるために有効にすることを強く推奨します。さもなければ、管理者は
/var/log/security の中にあるログ ファイル群を定期的にチェックする必要があります。
セキュリティ オプション:
カスタマイズされたレベルの作成以外にもコンピュータのセキュリティをカスタマイズする方法はあり、任意の設定項目を変更するためにこのタブを後から使用することもできます。msec
の現在の設定は /etc/security/msec/security.conf
に保存されています。このファイルは現在のセキュリティ レベル名と、設定項目群に対するすべての変更の一覧を含んでいます。
システム セキュリティ タブ
このタブはすべてのセキュリティ オプションを左側のコラムに、説明を真ん中のコラムに、それらの現在の値を右側のコラムに表示します。
設定項目の値を変更するには、それをダブルクリックすると新しいウィンドウが現れます (下のスクリーンショットを参照)。これは項目名, 短い説明,
現在値と既定値, 新しい値が選択可能なドロップ ダウン リストを表示します。OK
ボタンを押すと選択が有効になります。
msecgui を終了する際、忘れずにメニューファイル ->
設定を保存で確実に設定を保存してください。設定が変更されている場合、msecgui は保存前に変更をプレビューすることができます。
ネットワーク セキュリティ
このタブはすべてのネットワーク オプションを表示し、前のタブと同様に動作します
定期チェック タブ
定期チェックは msec が潜在的に危険と考えるすべての状況によるセキュリティ警告を用いてセキュリティ管理者に通知することを狙いとしています。
このタブは定期セキュリティ チェックを有効にするがチェックされている場合に msec
によって行われたすべての定期チェックとそれらの頻度を表示します。変更は前のタブと同様に行われます。
例外タブ
時に警告メッセージは把握済みな望まれる状況が原因となります。これらの場合においてこれらは役に立たず管理者にとって時間の無駄となります。このタブでは望まない警告メッセージを避けたい分だけの数の例外を作成できます。これは
msec の初回実行時には間違いなく空です。下のスクリーンショットは四つの例外を表示しています。
例外を作成するには、ルールを追加ボタンをクリックします。
チェックのドロップ ダウン
リストから望みの定期チェックを選択し、例外をテキスト入力欄に入力します。例外の追加は決して最終的なものではなく、例外タブの削除ボタンを用いて削除するかダブルクリックで変更することができます。
パーミッション
このタブはファイルやディレクトリのパーミッションをチェックおよび強制するためのものです。
セキュリティ用と同様、msec は異なるパーミッションのレベル (standard, secure など) を持ち、これらは選択されたセキュリティ
レベルに従って有効になります。自分でカスタマイズしたパーミッション レベルを作成することができ、それらはフォルダ
etc/security/msec/ の中に
perm.<levelname>
というファイル名で保存されます。この機能はカスタマイズされた設定を要求するパワー
ユーザ向けに意図されています。任意のパーミッションを変更するためにこのタブを後から使用することもできます。現在のパーミッションは
/etc/security/msec/perms.conf
に保存されます。このファイルはパーミッションに対するすべての変更の一覧を含んでいます。
既定のパーミッションはルールの一覧 (一行に一つ)
として見ることができます。左側にルールに関係するファイルやフォルダが見え、次に所有者、その次がグループそしてルールによって付与されるパーミッションとなります。もし、ルールの:
強制がチェックされていない場合、msec
はこのルールで定義されているパーミッションが変更されていないかをチェックし、変更された場合には警告メッセージを送りますが、行うのはそれだけで何も変更は行いません。
強制がチェックされている場合、msec は次回の定期チェック時にパーミッションを強制します。
これが動作するためには、定期チェックタブの項目 CHECK_PERMS
が適切に設定されていなければなりません。新しいルールを作成するには、ルールを追加ボタンをクリックし下の例で示されるようにフィールドを入力します。ファイルのフィールドではジョーカーの
* が使用できます。“current” は変更なしを意味します。
OK ボタンをクリックして選択を有効にします。終了する際、忘れずにメニューファイル ->
設定を保存で確実に設定を保存してください。設定が変更されている場合、msecgui は保存前に変更をプレビューすることができます。
設定ファイル /etc/security/msec/perms.conf
を編集することによってルールを作成もしくは変更することもできます。
パーミッション タブ内の変更 (もしくは設定ファイルの直接編集)
は次回の定期チェックで反映されます (定期チェック タブの項目 CHECK_PERMS
を参照)。それらをすぐに反映させたい場合、端末内で root 権限で msecperms コマンドを使用してください。その前に、msecperms
に変更されることになるパーミッションを msecperms -p コマンドで知ることができます。
端末やファイル マネージャでパーミッションを変更する際、パーミッション
タブで強制がチェックされたファイルに対して、msecgui は定期チェック タブの項目 CHECK_PERMS と CHECK_PERMS_ENFORCE
の設定に従ってしばらくしてから変更前のパーミッションに戻すということを忘れないでください。