blob: d6894d528d9a8679255f4cc9b6e00032ec9fa042 (
plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
|
<?xml version='1.0' encoding='utf-8'?><section xmlns="http://docbook.org/ns/docbook" xmlns:ns5="http://www.w3.org/1998/Math/MathML" xmlns:ns4="http://www.w3.org/2000/svg" xmlns:ns3="http://www.w3.org/1999/xhtml" xmlns:ns2="http://www.w3.org/1999/xlink" xmlns:ns="http://docbook.org/ns/docbook" version="5.0" xml:lang="ja" xml:id="msecgui">
<info>
<title xml:id="msecgui-ti1">MSEC: システムのセキュリティと監査</title>
<subtitle>msecgui</subtitle>
</info>
<mediaobject>
<!-- written by Lebarhon 2014/01/03 To be checked-->
<imageobject>
<imagedata xml:id="msecgui-im1" revision="1" fileref="msecgui.png" align="center" format="PNG"/>
</imageobject>
</mediaobject>
<section>
<title>説明</title>
<para>msecgui<footnote><para>このツールはコマンド ラインから開始でき、<emphasis role="bold">msecgui</emphasis> を root
として入力します。</para>
</footnote> は msec のグラフィック ユーザ
インターフェースで、これは二つのアプローチでシステムのセキュリティを設定できるようにするものです:</para>
<itemizedlist>
<listitem>
<para>システムの動作を設定し、msec はシステムに対してより安全になるような変更を適用します。</para>
</listitem>
<listitem>
<para>何か危険に思われることがあった場合に警告するために自動的に定期チェックを行います。</para>
</listitem>
</itemizedlist>
<para>msec は "セキュリティ レベル" の概念を用いており、変更や強制を監査可能な一連のシステム権限を設定することが意図されています。それらの幾つかは
Mageia によって提案されるものですが、自分でカスタマイズしたセキュリティ レベルを定義することも可能です。</para>
</section>
<section>
<title>概要タブ</title>
<para>上のスクリーンショットを参照してください。</para>
<para>最初のタブには異なるセキュリティ ツール群の一覧があり、右側のボタンでそれらを設定することができます:</para>
<itemizedlist>
<listitem>
<para>ファイアウォール, MCC / セキュリティ / 個人用ファイアウォールの設定 でも見つかります</para>
</listitem>
<listitem>
<para>更新, MCC / ソフトウェアの管理 / システムを更新 でも見つかります</para>
</listitem>
<listitem>
<para>msec 自体の幾つかの情報:</para>
<itemizedlist>
<listitem>
<para>有効か無効</para>
</listitem>
<listitem>
<para>設定された基本セキュリティ レベル</para>
</listitem>
<listitem>
<para>前回の定期チェックの日時と詳細結果を見るためのボタンとすぐにチェックを実行するための別のボタン。</para>
</listitem>
</itemizedlist>
</listitem>
</itemizedlist>
</section>
<section>
<title>セキュリティ設定タブ</title>
<para>二つめのタブもしくはセキュリティの<guibutton>設定</guibutton>ボタンをクリックすると下と同じ画面に切り替わります。</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui2.png"/>
</imageobject>
</mediaobject>
<section>
<title>基本セキュリティ タブ</title>
<para role="underline">
<emphasis role="underline">セキュリティ レベル:</emphasis>
</para>
<para><guilabel>MSEC ツールを有効にする</guilabel>にチェックした後、このタブでは太字で表示されるセキュリティ
レベルをダブルクリックで選択することができます。このボックスがチェックされていない場合、レベル « none »
が適用されます。以下のレベルが利用可能です:</para>
<orderedlist numeration="arabic">
<listitem>
<para>レベル <emphasis role="bold">none</emphasis>。このレベルはシステムのセキュリティを制御するのに msec
を使用することを望まず、自分でチューニングすることを好む場合が意図されます。これはすべてのセキュリティ
チェックを無効化し、システムの設定に一切の制限を行いません。システムを攻撃に対して脆弱にしてしまうため、このレベルは何をしているのか分かっている場合にのみ使用してください。</para>
</listitem>
<listitem>
<para>レベル <emphasis
role="bold">standard</emphasis>。これはインストール時の既定の設定でかつ普通のユーザ向けを意図しています。これは幾つかのシステム設定を強制し、システム
ファイル, システム アカウント, 脆弱なディレクトリ パーミッションにおける変更を検出するセキュリティ チェックを日ごとに実行します
(このレベルは過去の msec のバージョンのレベル 2 と 3 に近いです)。</para>
</listitem>
<listitem>
<para>レベル <emphasis
role="bold">secure</emphasis>。このレベルはシステムを確実に安全でかつ使えるものにしたい場合を意図しています。これはシステムのパーミッションを更に制限し、より多くの定期チェックを行います。その上で、システムへのアクセスはより制限されます
(このレベルは過去の msec のバージョンのレベル 4 (High) と 5 (Paranoid) に近いです)。</para>
</listitem>
<listitem>
<para>これらのレベルに加え、<emphasis role="bold">fileserver</emphasis>, <emphasis
role="bold">webserver</emphasis>, <emphasis role="bold">netbook</emphasis>
のような異なるタスク志向のセキュリティも提供されます。このようなレベルは最も一般的な用途に従ってシステムのセキュリティを事前に設定しようとします。</para>
</listitem>
<listitem>
<para>最後の <emphasis role="bold">audit_daily</emphasis> と <emphasis
role="bold">audit_weekly</emphasis> と呼ばれる二つのレベルは実際にはセキュリティ
レベルではなく、定期チェックを行うだけのツールになります。</para>
</listitem>
</orderedlist>
<para>これらのレベルは <filename>/etc/security/msec/level.<levelname></filename>
に保存されます。カスタマイズされたセキュリティ
レベルを定義することも可能で、<filename>level.<levelname></filename> というファイル群にそれらを
<filename>/etc/security/msec/</filename>
フォルダの中に配置します。この機能はカスタマイズされた、もしくはより安全なシステム設定を要求するパワー ユーザ向けに意図されています。</para>
<caution>
<para>ユーザによって変更されたパラメータは既定のレベルの設定よりも優先されるということを心に留めておいてください。</para>
</caution>
<para>
<emphasis role="underline">セキュリティ警告:</emphasis>
</para>
<para><guibutton>セキュリティ警告をメールで送信する:</guibutton> にチェックした場合、msec
によって生成されたセキュリティ警告がローカルのメールですぐそばのフィールドに入力されたセキュリティ管理者宛に送られます。ローカルのユーザか完全なメール
アドレスのいずれかを入力できます (ローカルのメールとメール
マネージャが適切に設定されていなければなりません)。最後に、セキュリティ警告はお使いのデスクトップ上で直接受け取ることができます。適切なボックスにチェックすると有効になります。</para>
<important>
<para>セキュリティ警告の設定項目は起こりうるセキュリティ問題をセキュリティ管理者へ即座に知らせるために有効にすることを強く推奨します。さもなければ、管理者は
<filename>/var/log/security</filename> の中にあるログ ファイル群を定期的にチェックする必要があります。</para></important>
<para><emphasis role="underline">セキュリティ設定:</emphasis></para>
<para>カスタマイズされたレベルの作成以外にもコンピュータのセキュリティをカスタマイズする方法はあり、任意の設定項目を変更するためにこのタブを後から使用することもできます。msec
の現在の設定は <filename>/etc/security/msec/security.conf</filename>
に保存されています。このファイルは現在のセキュリティ レベル名と、設定項目群に対するすべての変更の一覧を含んでいます。</para>
</section>
<section>
<title>システム セキュリティ タブ</title>
<para>このタブはすべてのセキュリティ設定の項目を左側のコラムに、説明を真ん中のコラムに、それらの現在の値を右側のコラムに表示します。</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui3.png"/>
</imageobject>
</mediaobject>
<para>設定項目の値を変更するには、それをダブルクリックすると新しいウィンドウが現れます (下のスクリーンショットを参照)。これは項目名, 短い説明,
現在値と既定値, 新しい値が選択可能なドロップ ダウン リストを表示します。<guibutton>OK</guibutton>
ボタンを押すと選択が有効になります。</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui11.png"/>
</imageobject>
</mediaobject>
<caution>
<para>msecgui を終了する際、忘れずにメニューの<guimenu>ファイル ->
設定を保存</guimenu>で確実に設定を保存してください。設定が変更されている場合、msecgui は保存前に変更をプレビューすることができます。</para>
</caution>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui10.png"/>
</imageobject>
</mediaobject>
</section>
<section>
<title>ネットワーク セキュリティ</title>
<para>このタブはすべてのネットワーク設定を表示し、前のタブと同様に動作します</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui4.png"/>
</imageobject>
</mediaobject>
</section>
<section>
<title>定期チェック タブ</title>
<para>定期チェックは msec が潜在的に危険と考えるすべての状況についてセキュリティ警告を用いてセキュリティ管理者に通知することを狙いとしています。</para>
<para>このタブは<guibutton>定期セキュリティ チェックを有効にする</guibutton>がチェックされている場合に msec
によって行われたすべての定期チェックとそれらの頻度を表示します。変更は前のタブと同様に行われます。</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui5.png"/>
</imageobject>
</mediaobject>
</section>
<section>
<title>例外タブ</title>
<para>時に警告メッセージは把握済みな望まれる状況が原因となります。これらの場合においてこれらは役に立たず管理者にとって時間の無駄となります。このタブでは望まない警告メッセージを避けたい分だけの数の例外を作成できます。これは
msec の初回実行時には間違いなく空です。下のスクリーンショットは四つの例外を表示しています。</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui6.png"/>
</imageobject>
</mediaobject>
<para>例外を作成するには、<guibutton>ルールを追加</guibutton>ボタンをクリックします。</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui7.png"/>
</imageobject>
</mediaobject>
<para><guilabel>チェック</guilabel>のドロップ ダウン
リストから望みの定期チェックを選択し、<guilabel>例外</guilabel>をテキスト入力欄に入力します。例外の追加は決して最終的なものではなく、<guilabel>例外</guilabel>タブの<guibutton>削除</guibutton>ボタンを用いて削除するかダブルクリックで変更することができます。</para>
</section>
<section>
<title>パーミッション</title>
<para>このタブはファイルやディレクトリのパーミッションをチェックおよび強制するためのものです。</para>
<para>セキュリティ用と同様、msec には異なるパーミッションのレベル (standard, secure など) があり、これらは選択されたセキュリティ
レベルに従って有効になります。自分でカスタマイズしたパーミッション レベルを作成することができ、それらはフォルダ
<filename>/etc/security/msec/</filename> の中に
<filename>perm.<levelname></filename>
というファイル名で保存されます。この機能はカスタマイズされた設定を要求するパワー
ユーザ向けに意図されています。任意のパーミッションを変更するためにこのタブを後から使用することもできます。現在のパーミッションは
<filename>/etc/security/msec/perms.conf</filename>
に保存されます。このファイルはパーミッションに対するすべての変更の一覧を含んでいます。</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui8.png"/>
</imageobject>
</mediaobject>
<para>既定のパーミッションはルールの一覧 (一行に一つ)
として見ることができます。左側にルールに関係するファイルやフォルダがあり、次に所有者、その次がグループそしてルールによって付与されるパーミッションとなります。もし、ルールの:</para>
<itemizedlist>
<listitem>
<para><guilabel>強制</guilabel>がチェックされていない場合、msec
はこのルールで定義されているパーミッションが変更されていないかをチェックし、変更された場合には警告メッセージを送りますが、行うのはそれだけで何も変更は行いません。</para>
</listitem>
<listitem>
<para><guilabel>強制</guilabel>がチェックされている場合、msec は次回の定期チェック時にパーミッションを強制します。</para></listitem>
</itemizedlist>
<important><para>これが動作するためには、<emphasis role="bold">定期チェック</emphasis> タブの項目 CHECK_PERMS
が適切に設定されていなければなりません。</para></important><para>新しいルールを作成するには、<guibutton>ルールを追加</guibutton>ボタンをクリックして下の例で示されるようにフィールドを入力します。<guilabel>ファイル</guilabel>のフィールドではジョーカーの
* が使用できます。“current” は変更なしを意味します。</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui9.png"/>
</imageobject>
</mediaobject>
<para><guibutton>OK</guibutton> ボタンをクリックして選択を有効にします。終了する際、忘れずにメニューの<guimenu>ファイル
-> 設定を保存</guimenu>で確実に設定を保存してください。設定が変更されている場合、msecgui
は保存前に変更をプレビューすることができます。 </para>
<note><para>設定ファイル <filename>/etc/security/msec/perms.conf</filename>
を編集することによってルールを作成もしくは変更することもできます。
</para></note>
<caution><para><emphasis role="bold">パーミッション タブ</emphasis>内の変更 (もしくは設定ファイルの直接編集)
は次回の定期チェックで反映されます (<emphasis role="bold">定期チェック タブ</emphasis>の項目 CHECK_PERMS
を参照)。それらをすぐに反映させたい場合、端末内で root 権限で msecperms コマンドを使用してください。msecperms
に変更されることになるパーミッションは msecperms -p コマンドで事前に知ることができます。</para></caution>
<caution><para>端末やファイル マネージャでパーミッションを変更する際、<emphasis role="bold">パーミッション
タブ</emphasis>で<guilabel>強制</guilabel>がチェックされたファイルに対して、msecgui は<emphasis
role="bold">定期チェック タブ</emphasis>の項目 CHECK_PERMS と CHECK_PERMS_ENFORCE
の設定に従ってしばらくしてから変更前のパーミッションに戻すということを忘れないでください。</para></caution>
</section>
</section>
</section>
|
