MSEC: Контроль безпеки системи
msecgui
Презентація
msecguiЗапустити цю програму можна за допомогою термінала: достатньо ввести команду
msecgui від імені адміністратора (root).
— графічний інтерфейс
користувача до msec, за допомогою якого можна налаштувати захист системи у
такий спосіб:
Встановити загальносистемну поведінку, msec вносить до системи зміни з метою
її убезпечення.
Виконувати періодичні автоматичні перевірки системи з метою попередити вас
про потенційно небезпечні зміни.
У msec використано концепцію «рівнів безпеки». Рівні призначено для
налаштовування цілого набору прав доступу у системі, за якими спостерігатиме
і які примусово встановлюватиме програма. У Mageia вам буде запропоновано
декілька типових рівнів, але ви можете визначити власні нетипові рівні
безпеки.
Вкладка огляду
Див. наведений вище знімок вікна
На першій вкладці буде показано список різноманітних інструментів захисту з
розташованою праворуч кнопкою для налаштовування цих інструментів:
Брандмауер, також можна отримати доступ за допомогою Центру керування
Mageia, сторінка «Безпека», пункт «Налаштовування особистого захисного
шлюзу».
Оновлення, доступ також можна отримати за допомогою Центру керування Mageia,
сторінка «Менеджер програм», пункт «Поновити систему».
Сам msec з деякою інформацією:
увімкнено чи ні
налаштований базовий рівень безпеки
дати останніх періодичних перевірок, кнопки перегляду докладного звіту та
кнопки для негайного виконання перевірки.
Вкладка «Параметри безпеки»
Якщо ви клацнете лівою кнопкою миші на другій вкладці або на кнопці
Налаштувати, буде показано сторінку, подібну до
наведеної на знімку нижче.
Вкладка «Загальна безпека»
Рівні безпеки:
Після позначення пункту Увімкнути інструмент MSEC за
допомогою цієї вкладки ви можете подвійним клацанням кнопкою миші вибрати
рівень безпеки. Якщо цей пункт не буде позначено, правила забезпечення
безпеки не застосовуватимуться. Типово, можна скористатися такими рівнями
безпеки:
Рівень none. Цей рівень призначено для
ситуацій, коли ви не хочете, щоб msec керував безпекою системи, і хочете
налаштувати засоби захисту власноруч. Якщо буде вибрано цей рівень, усі
перевірки безпеки буде вимкнено, програма не застосовуватиме жодних обмежень
на налаштування та параметри системи. Будь ласка, користуйтеся цим рівнем,
лише якщо повністю усвідомлюєте наслідки, оскільки його використання
залишить вашу систему вразливою до нападів зловмисників.
Рівень standard. Цей рівень є типовим після
встановлення системи, його призначено для звичайних користувачів. Права
доступу у системі буде дещо обмежено, виконуватимуться щоденні перевірки
захисту для виявлення змін у системних файлах, облікових записах та
вразливостей у правах доступу до каталогів (цей рівень подібний до рівнів 2
і 3 у старих версіях msec).
Рівень secure. Цей рівень буде корисним,
якщо вам потрібна захищена система з певною свободою у діях. Права доступу у
системі буде обмежено, виконуватимуться періодичні перевірки. Крім того,
буде обмежено доступ до системи (цей рівень подібний до рівнів 4 (високий)
та 5 (параноїдальний) у старих версіях msec).
Окрім цих рівнів, передбачено різні зорієнтовані на завдання набори
налаштувань захисту, зокрема рівні fileserver, webserver та netbook. Якщо ви скористаєтеся цими рівнями, захист
системи буде попередньо налаштовано на виконання більшості типових завдань.
Останні два рівні мають назву audit_daily і
audit_weekly. Насправді, це не зовсім рівні
безпеки, скоріше інструменти, призначені лише для виконання періодичних
перевірок.
Записи цих рівнів зберігаються у файлах
etc/security/msec/level.<назва рівня>. Ви можете
визначити власні нетипові рівні безпеки і зберігати їх до специфічних файлів
з назвами level.<назва рівня>, які зберігатимуться
до теки etc/security/msec/. Створення рівнів є
прерогативою досвідчених користувачів, яким потрібна гнучкіша система
налаштувань та захищеніша система.
Пам’ятайте, що змінені користувачем параметри мають перевагу над типовими
параметрами рівня.
Сповіщення безпеки:
Якщо ви позначите пункт Надсилати сповіщення безпеки електронною
поштою на адресу:, звіти щодо безпеки, створені msec,
надсилатимуться локальною електронною поштою адміністратору безпеки,
вказаному у сусідньому полі. Ви можете або вказати назву облікового запису
локального користувача, або вказати адресу електронної пошти повністю (щоб
це спрацювало, слід налаштувати локальні засоби роботи з електронною поштою
та засоби керування нею відповідним чином). Нарешті, ви можете отримувати
сповіщення щодо безпеки безпосередньо за допомогою вашої стільниці. Просто
позначте відповідний пункт, щоб увімкнути ці сповіщення.
Наполегливо рекомендуємо вам увімкнути сповіщення безпеки забезпечення для
адміністратора безпеки отримання негайної інформації щодо можливих проблем з
безпекою. Якщо ви цього не зробите, адміністратору доведеться регулярно
ознайомлюватися з файлами журналу, що зберігаються у каталозі
/var/log/security.
Параметри безпеки:
Створення нетипового рівня безпеки не є єдиним способом налаштовування
захисту комп’ютера. Ви також можете скористатися вкладками для зміни
будь-якого з потрібних вам параметрів. Поточні налаштування msec
зберігаються у файлі
/etc/security/msec/security.conf. У цьому файлі
містяться дані щодо назви поточного рівня безпеки та список усіх змін, які
було внесено до його параметрів.
Вкладка «Безпека системи»
На цій вкладці буде показано усіх параметри захисту у лівому стовпчику, їхні
описи у центральному стовпчику та поточні значення у правому стовпчику.
Щоб внести зміни до параметра, двічі клацніть на відповідному пункті. У
відповідь буде відкрито нове вікно (див. наведений нижче знімок). У вікні
буде показано назву параметра, короткий опис, поточне і типове значення, а
також спадний список, за допомогою якого можна вибрати це
значення. Натисніть кнопку Гаразд, щоб підтвердити
ваш вибір.
Не забудьте перед завершенням роботи msecgui зберегти ваші налаштування за
допомогою пункту меню Файл -> Зберегти налаштування. Якщо
вами було внесено зміни до параметрів, msecgui надасть вам змогу попередньо
переглянути список змін, перш ніж ці зміни буде збережено.
Мережева безпека
На цій вкладці буде показано усіх параметри захисту роботи у мережі. Вона
працює у спосіб, подібний до способу роботи попередньої вкладки.
Вкладка «Періодичні перевірки»
Періодичні перевірки призначено для інформування адміністратора безпеки за
допомогою сповіщень щодо усіх проблем, які msec вважає потенційно
небезпечними.
На цій вкладці буде показано усіх виконані msec періодичні перевірки та їхню
частоту, якщо позначено пункт Увімкнути періодичні перевірки
безпеки. Зміни можна вносити у спосіб, подібний до способу
внесення змін на попередніх вкладках.
Вкладка «Винятки»
Іноді сповіщення створюються щодо добре відомих і безпечних «проблем». У
таких випадках сповіщення є зайвими і лише витрачатимуть час
адміністратора. За допомогою цієї вкладки ви можете створити довільну
кількість винятків для усування зайвих сповіщень. Під час першого запуску
msec список на цій вкладці, звичайно ж, буде порожнім. На наведеному нижче
знімку не показано жодного винятку.
Щоб створити запис винятку, натисніть кнопку Додати
правило.
Виберіть бажані періодичні перевірки за допомогою спадного списку
Перевірка, а потім введіть Виняток
до відповідного поля. Звичайно ж, додавання виключення не є остаточним. Ви
можете або вилучити його за допомогою натискання кнопки
Вилучити на вкладці Винятки, або
змінити створений запис винятку подвійним клацанням лівою кнопкою миші на
відповідному пункті.
Права доступу
Цю вкладку призначено для налаштовування перевірок прав доступу до файлів і
каталогів та примусового встановлення відповідних прав.
Подібно до рівнів захисту, у msec передбачено різні рівні прав доступу
(standard, secure, ..), які вмикаються відповідно до вибраного рівня
безпеки. Ви можете створювати власні нетипові рівні прав доступу, зберігати
їх до відповідних файлів з назвами perm.<назва
рівня> до теки etc/security/msec/. Звичайно
ж, цим варто користуватися маючи певний досвід і причину для створення
нетипового рівня. Крім того, можна скористатися вкладкою вікна налаштувань
для внесення змін до вже створених прав доступу. Поточні налаштування
зберігаються у файлі /etc/security/msec/perms.conf. Цей
файл містить список усіх змін, які було внесено до прав доступу.
Типові права доступу буде показано у форматі списку правил (одне правило на
рядок). У лівому стовпчику буде показано файл або теку, якого стосуються
правила, у наступному стовпчику буде показано власника, далі групу, а потім
стовпчик прав доступу, який надається цим правилом. Якщо для наданого
правила:
пункт Примусити не позначено, msec виконуватиме лише
перевірку, чи виконуються обмеження прав доступу, визначені правилом, і
надсилатиме сповіщення, якщо вони не виконуватимуться, але не вноситиме
ніяких змін.
пункт Примусити позначено, msec виконуватиме перевірку,
чи виконуються обмеження прав доступу, визначені правилом, і виправлятиме
права доступу.
Для того, щоб це спрацювало, слід відповідним чином налаштувати параметр
CHECK_PERMS на вкладці «Періодичні
перевірки».Щоб створити нове правило, натисніть кнопку Додати
правило і заповніть поля так, як це показано у наведеному нижче
прикладі. У полі Файл можна використовувати замінник
*. «current» означає «не вносити зміни».
Натисніть кнопку Гаразд, щоб підтвердити вибір і не
забудьте перед закриттям вікна зберегти ваші налаштування за допомогою
пункту меню Файл -> Зберегти налаштування. Якщо вами було
внесено зміни до параметрів, msecgui надасть вам змогу попередньо
переглянути список змін, перш ніж ці зміни буде збережено.
Крім того, можна створювати або вносити зміни до правил за допомогою
редагування файла налаштувань
/etc/security/msec/perms.conf.
Зміни на вкладці «Права доступу» (або
безпосередньо за допомогою файла налаштувань) беруться до уваги під час
виконання першої ж періодичної перевірки (див. пункт CHECK_PERMS на
вкладці «Періодичні перевірки»). Якщо ви
хочете, щоб зміни було застосовано негайно, скористайтеся командою msecperms
з консолі. Команду слід віддавати від імені користувача root. Щоб
ознайомитися зі списком прав доступу, які буде змінено програмою msecperms,
скористайтеся командою msecperms -p.
Не забувайте, що якщо ви внесете зміни щодо прав доступу до певного файла за
допомогою консольної команди або програми для керування файлами, і пункт
Примусити на вкладці «Права
доступу» для цього файла буде позначено, msecgui за деякий час
поверне попередні права доступу, відповідно до налаштувань параметрів
CHECK_PERMS та CHECK_PERMS_ENFORCE на вкладці
«Періодичні перевірки».