MSEC: Systemsäkerhet och kontroll
msecgui
Presentation
msecguiDu kan starta det här verktyget från en konsol genom att skriva msecgui som root.
är ett grafiskt gränssnitt för
msec där du kan konfigurera sitt systems säkerhet enligt två
tillvägagångssätt.
Den ställer in systemets beteende, msec tvingar ändringar för systemet för
att göra det mer säkert.
Det utför periodiska kontroller automatisk i systemet för att varna dig om
något verkar vara farligt.
msec använder begreppet säkerhetsnivåer som är till för att konfigurera en
rad tillstånd i systemet som kan övervakas för ändringar eller
genomdrivande. Många av dem föreslås av Mageia men du kan ange dina egna
anpassade säkerhetsnivåer.
Fliken översikt
Se skärmdumpen ovan
Första fliken visa olika säkerhetsverktyg och en knapp till höger för att
konfigurera dem:
Brandvägg. Finns även i MCC / Säkerhet / Konfigurera din personliga
brandvägg.
Uppdateringar. Finns även i MCC / Programhantering / Uppdatera ditt system
msec själv med lite information:
aktiverad eller inte
den konfigurerade säkerheten för basnivå
datum för senaste periodiska kontrollen och en knapp för att visa en
detaljerad rapport och ytterligare en knapp för att utföra kontrollen nu.
Fliken Säkerhetsalternativ
Att klicka på den andra fliken eller på knappen
Konfigurera under Säkerhet leder till samma skärm som
visas nedan.
Fliken Bassäkerhet
Säkerhetsnivåer:
När du har kryssat i rutan Aktivera MSEC-verktyg så kan
du på den här fliken dubbelklicka för att välja en säkerhetsnivå som sedan
visas i fetstil. Om kryssrytan inte är markerad så tillämpas nivån « Ingen »
Följande nivåer är tillgängliga:
Nivå ingen. Den här nivån är om du inte
vill använda msec för att kontrollera systemets säkerhet utan istället vill
justera den själv. Den inaktiverar alla säkerhetskontroller och lägger inga
restriktioner eller begränsningar för systemkonfiguration och
inställningar. Använd enbart den här nivån om du vet vad du gör eftersom det
gör ditt system sårbart mot attacker.
Nivå standard. Den här är standard efter
installation och är avsedd för vanliga användare. Den begränsar flera
systeminställningar och kör dagliga säkerhetskontroller som upptäcker
ändringar i systemfiler, konton och sårbara katalogrättigheter. (Den här
nivån liknar Nivå 2 och Nivå 3 från tidigare versioner av msec).
Nivå säker. Den här nivån är till för om du
vill garantera att ditt system är säkert men ändå användbart. Det begränsar
systemrättigheter ännu mer och kör fler periodiska kontroller. Dessutom är
åtkomst till systemet mer begränsad (Den här nivån liknar nivå 4 (Hög) och
Nivå 5 (Paranoid) från tidigare msec-versioner).
Förutom dessa nivåer är olika uppgiftsorienterade säkerhetsnivåer också
tillgängliga, t. ex filserver , webbserver and netbook-nivåer. De försöker förkonfigurera systemets
säkerhet i enlighet med de vanligaste användningsområdena.
De två sista nivåerna är audit_daily och
audit_weekly är egentligen inga
säkerhetsnivåer utan enbart verktyg som utför periodiska kontroller.
Nivåerna sparas i
etc/security/msec/level.<nivånamn>. Du kan definiera
dina egna anpassade säkerhetsnivåer och spara dem i särskilda filer som
heter nivå.<nivånamn> och placera dem i katalogen
etc/security/msec/. Den här funktionen är till för
avancerade användare som kräver en anpassad och mer säker
systemkonfiguration.
Tänk på att användardefinierade parametrar har företräde över standard
nivåinställningar.
Säkerhetsvarningar:
Om du markerar kryssrutan Skicka säkerhetsvarningar med e-post
till: så skickas säkerhetsvarningarna som msec genererar lokalt
till en e-postadress för säkerhetsansvarig som anges i fältet sidan om. Du
kan ange en lokal användare eller en fullständig e-postadress (den lokala
e-posthanteraren måste vara inställd). Till sist kan du få
säkerhetsvarningar direkt till skrivbordet. Markera kryssrutan för att
aktivera det.
Det rekommenderas starkt att du aktiverar alternativet systemvarningar för
att omedelbart informera systemansvarig om potentiella
säkerhetsproblem. Annars måste administratören regelbundet kontrollera
loggarna som finns i /var/log/security.
Säkerhetsalternativ:
Att skapa en anpassad nivå är inte det enda sättet att anpassa datorns
säkerhet. Du kan också använda flikarna som visas här efteråt för att ändra
vilken inställning du vill. Nuvarande konfiguration för msec är sparad i
/etc/security/msec/security.conf. Filen innehåller
namnet på den aktuella säkerhetsnivån och en lista gjorda med alla ändringar
för inställningarna.
Fliken Systemsäkerhet
Den här fliken visar alla säkerhetsalternativ i den vänstra kolumnen, en
beskrivning i mitten och deras nuvarande värden till höger.
För att ändra ett alternativ så dubbelklickar du på det, därefter visas ett
nytt fönster (se skärmdumpen nedan). Det visar namn, en kort beskrivning,
det faktiska värdet och en rullgardinsmeny där ett nytt värde kan
väljas. Klicka på Ok för att spara.
Glöm inte att spara dina inställningar innan du avslutar helt genom menyn
Arkiv -> Spara inställningar. Om du har ändrat något så
kan du förhandsgranska dem innan du sparar.
Nätverks-säkerhet
Den här fliken visar alla nätverksalternativ och fungerar på samma sätt som
föregående flik.
Fliken Periodiska kontroller
Periodiska kontroller är till för att informera säkerhetsansvarig genom
säkerhetsvarningar för alla situationer som msec tror kan vara farliga.
Om kryssrutan Aktivera periodiska säkerhetskontroller
är markerad så visar den här fliken alla periodiska kontroller som msec
utför och hur ofta. Ändringar görs som i föregående flikar.
Fliken Undantag
Ibland är varningsmeddelanden genererade av välkända och önskade
situationer. I de fallen är de värdelösa och slöseri med tid för
administratören. På den här fliken kan du skapa hur många undantag du vill
för att förhindra oönskade varningsmeddelanden. Den är uppenbarligen tom
första gången msec startar. Skärmdumpen nedan visar fyra undantag.
Klicka på Lägg till en regel för att skapa ett
undantag.
Välj ett önskat värde för periodisk kontroll i
Kontroll-listan och skriv in
undantaget i textfältet. Att lägga till ett undantag är
naturligtvis inte definitivt. De kan radera det med knappen
Radera i fliken Undantag eller
dubbelklicka för att ändra.
Behörigheter
Den här fliken är avsedd för kontroll och påtvingande av rättigheter för
filer och kataloger.
Som med säkerhet så har msec olika rättighetsnivåer (standard, säker, ...)
de är aktiverade enligt vald säkerhetsnivå. Du kan skapa dina egna anpassade
säkerhetsnivåer och kan spara dem i specifika filer med namnet
perm.<nivånamn> i katalogen
etc/security/msec/. Den här funktionen är till för
avancerade användare som kräver en anpassad konfiguration. Du kan också
använda fliken som visas här vid ett senare tillfälle för att ändra vilka
rättigheter du vill. Nuvarande konfiguration lagras i
/etc/security/msec/perms.conf.. Denna fil innehåller
alla ändringar som är gjorda för rättigheterna.
Standard rättigheter visas som en lista med regler (en regel per rad). Du
ser till vänster vilken fil eller katalog som berörs av regeln. Därefter
ägare, grupp och slutligen vilka rättigheter som ges av regeln. Om, för en
angiven regel:
kryssrutan Tvinga inte är markerad kommer msec bara att
kontrollera om de definierade rättigheterna för den här regeln respekteras
och skickar ett varningsmeddelande om de inte är det, men ingenting ändras.
kryssrutan Tvinga är markerad kommer msec inte att
respektera rättigheterna vid första periodiska kontrollen utan skriva över
dem.
För att det här ska fungera måste alternativet CHECK_PERMS i Fliken periodiska kontroller vara markerat och
konfigureratKlicka på Lägg till en regel för att skapa en ny
regel och fyll i fälten som visas i exemplet nedan. En asterisk * är
tillåtet i fältet Fil. “nuvaranade” menas ingen
ändring.
Klicka på knappen Ok för att bekräfta valet och glöm
inte att spara din konfiguration innan du avslutar helt genom menyn
Arkiv -> Spara inställningar. Om du har ändrat något så
ger msecgui dig möjlighet att förhandsgranska dem innan du sparar.
Du kan också ändra reglerna genom att redigera filen
/etc/security/msec/perms.conf.
Ändringar gjorda på Fliken rättigheter
(eller manuellt i konfigurationsfilen) beaktas vid den första periodiska
kontrollen (se alternativet CHECK_PERMS på Fliken
Periodiska kontroller). Om du vill att de ska verkställas
omedelbart så använder du kommandot msecperms i en konsoll med
root-rättigheter. Där kan du i förväg kontrollera vilka rättigheter som
kommer att ändras genom att skriva msecperms -p
Kom ihåg att om du ändrar rättigheterna i en konsol eller filhanterare för
en fil där Tvinga är markerad i Fliken rättigheter så kommer msecgui att ändra
tillbaka de gamla rättigheterna efter ett tag i enlighet med konfigurationen
av alternativen CHECK_PERMS och CHECK_PERMS_ENFORCE från Fliken Periodiska kontroller.