1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
|
<?xml version='1.0' encoding='utf-8'?><section xmlns="http://docbook.org/ns/docbook" xmlns:ns5="http://www.w3.org/1998/Math/MathML" xmlns:ns4="http://www.w3.org/2000/svg" xmlns:ns3="http://www.w3.org/1999/xhtml" xmlns:ns2="http://www.w3.org/1999/xlink" xmlns:ns="http://docbook.org/ns/docbook" version="5.0" xml:lang="uk" xml:id="msecgui">
<info>
<title xml:id="msecgui-ti1">MSEC: Контроль безпеки системи</title>
<subtitle>msecgui</subtitle>
</info>
<mediaobject>
<!-- written by Lebarhon 2014/01/03 To be checked-->
<imageobject>
<imagedata xml:id="msecgui-im1" revision="1" fileref="msecgui.png" align="center" format="PNG"/>
</imageobject>
</mediaobject>
<section>
<title>Презентація</title>
<para>msecgui<footnote><para>Запустити цю програму можна за допомогою термінала: достатньо ввести команду
<emphasis role="bold">msecgui</emphasis> від імені адміністратора (root).</para>
</footnote> — графічний інтерфейс
користувача до msec, за допомогою якого можна налаштувати захист системи у
такий спосіб:</para>
<itemizedlist>
<listitem>
<para>Встановити загальносистемну поведінку, msec вносить до системи зміни з метою
її убезпечення.</para>
</listitem>
<listitem>
<para>Виконувати періодичні автоматичні перевірки системи з метою попередити вас
про потенційно небезпечні зміни.</para>
</listitem>
</itemizedlist>
<para>У msec використано концепцію «рівнів безпеки». Рівні призначено для
налаштовування цілого набору прав доступу у системі, за якими спостерігатиме
і які примусово встановлюватиме програма. У Mageia вам буде запропоновано
декілька типових рівнів, але ви можете визначити власні нетипові рівні
безпеки.</para>
</section>
<section>
<title>Вкладка огляду</title>
<para>Див. наведений вище знімок вікна</para>
<para>На першій вкладці буде показано список різноманітних інструментів захисту з
розташованою праворуч кнопкою для налаштовування цих інструментів:</para>
<itemizedlist>
<listitem>
<para>Брандмауер, також можна отримати доступ за допомогою Центру керування
Mageia, сторінка «Безпека», пункт «Налаштовування особистого захисного
шлюзу».</para>
</listitem>
<listitem>
<para>Оновлення, доступ також можна отримати за допомогою Центру керування Mageia,
сторінка «Менеджер програм», пункт «Поновити систему».</para>
</listitem>
<listitem>
<para>Сам msec з деякою інформацією:</para>
<itemizedlist>
<listitem>
<para>увімкнено чи ні</para>
</listitem>
<listitem>
<para>налаштований базовий рівень безпеки</para>
</listitem>
<listitem>
<para>дати останніх періодичних перевірок, кнопки перегляду докладного звіту та
кнопки для негайного виконання перевірки.</para>
</listitem>
</itemizedlist>
</listitem>
</itemizedlist>
</section>
<section>
<title>Вкладка «Параметри безпеки»</title>
<para>Якщо ви клацнете лівою кнопкою миші на другій вкладці або на кнопці
<guibutton>Налаштувати</guibutton>, буде показано сторінку, подібну до
наведеної на знімку нижче.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui2.png"/>
</imageobject>
</mediaobject>
<section>
<title>Вкладка «Загальна безпека»</title>
<para role="underline">
<emphasis role="underline">Рівні безпеки:</emphasis>
</para>
<para>Після позначення пункту <guilabel>Увімкнути інструмент MSEC</guilabel> за
допомогою цієї вкладки ви можете подвійним клацанням кнопкою миші вибрати
рівень безпеки. Якщо цей пункт не буде позначено, правила забезпечення
безпеки не застосовуватимуться. Типово, можна скористатися такими рівнями
безпеки:</para>
<orderedlist numeration="arabic">
<listitem>
<para>Рівень <emphasis role="bold">none</emphasis>. Цей рівень призначено для
ситуацій, коли ви не хочете, щоб msec керував безпекою системи, і хочете
налаштувати засоби захисту власноруч. Якщо буде вибрано цей рівень, усі
перевірки безпеки буде вимкнено, програма не застосовуватиме жодних обмежень
на налаштування та параметри системи. Будь ласка, користуйтеся цим рівнем,
лише якщо повністю усвідомлюєте наслідки, оскільки його використання
залишить вашу систему вразливою до нападів зловмисників.</para>
</listitem>
<listitem>
<para>Рівень <emphasis role="bold">standard</emphasis>. Цей рівень є типовим після
встановлення системи, його призначено для звичайних користувачів. Права
доступу у системі буде дещо обмежено, виконуватимуться щоденні перевірки
захисту для виявлення змін у системних файлах, облікових записах та
вразливостей у правах доступу до каталогів (цей рівень подібний до рівнів 2
і 3 у старих версіях msec).</para>
</listitem>
<listitem>
<para>Рівень <emphasis role="bold">secure</emphasis>. Цей рівень буде корисним,
якщо вам потрібна захищена система з певною свободою у діях. Права доступу у
системі буде обмежено, виконуватимуться періодичні перевірки. Крім того,
буде обмежено доступ до системи (цей рівень подібний до рівнів 4 (високий)
та 5 (параноїдальний) у старих версіях msec).</para>
</listitem>
<listitem>
<para>Окрім цих рівнів, передбачено різні зорієнтовані на завдання набори
налаштувань захисту, зокрема рівні <emphasis
role="bold">fileserver</emphasis>, <emphasis
role="bold">webserver</emphasis> та <emphasis
role="bold">netbook</emphasis>. Якщо ви скористаєтеся цими рівнями, захист
системи буде попередньо налаштовано на виконання більшості типових завдань.</para>
</listitem>
<listitem>
<para>Останні два рівні мають назву <emphasis role="bold">audit_daily</emphasis> і
<emphasis role="bold">audit_weekly</emphasis>. Насправді, це не зовсім рівні
безпеки, скоріше інструменти, призначені лише для виконання періодичних
перевірок.</para>
</listitem>
</orderedlist>
<para>Записи цих рівнів зберігаються у файлах
<filename>/etc/security/msec/level.<назва рівня></filename>. Ви можете
визначити власні нетипові рівні безпеки і зберігати їх до специфічних файлів
з назвами <filename>level.<назва рівня></filename>, які зберігатимуться
до теки <filename>/etc/security/msec/</filename>. Створення рівнів є
прерогативою досвідчених користувачів, яким потрібна гнучкіша система
налаштувань та захищеніша система.</para>
<caution>
<para>Пам’ятайте, що змінені користувачем параметри мають перевагу над типовими
параметрами рівня.</para>
</caution>
<para>
<emphasis role="underline">Сповіщення безпеки:</emphasis>
</para>
<para>Якщо ви позначите пункт <guibutton>Надсилати сповіщення безпеки електронною
поштою на адресу:</guibutton>, звіти щодо безпеки, створені msec,
надсилатимуться локальною електронною поштою адміністратору безпеки,
вказаному у сусідньому полі. Ви можете або вказати назву облікового запису
локального користувача, або вказати адресу електронної пошти повністю (щоб
це спрацювало, слід налаштувати локальні засоби роботи з електронною поштою
та засоби керування нею відповідним чином). Нарешті, ви можете отримувати
сповіщення щодо безпеки безпосередньо за допомогою вашої стільниці. Просто
позначте відповідний пункт, щоб увімкнути ці сповіщення.</para>
<important>
<para>Наполегливо рекомендуємо вам увімкнути сповіщення безпеки забезпечення для
адміністратора безпеки отримання негайної інформації щодо можливих проблем з
безпекою. Якщо ви цього не зробите, адміністратору доведеться регулярно
ознайомлюватися з файлами журналу, що зберігаються у каталозі
<filename>/var/log/security</filename>.</para></important>
<para><emphasis role="underline">Параметри безпеки:</emphasis></para>
<para>Створення нетипового рівня безпеки не є єдиним способом налаштовування
захисту комп’ютера. Ви також можете скористатися вкладками для зміни
будь-якого з потрібних вам параметрів. Поточні налаштування msec
зберігаються у файлі
<filename>/etc/security/msec/security.conf</filename>. У цьому файлі
містяться дані щодо назви поточного рівня безпеки та список усіх змін, які
було внесено до його параметрів.</para>
</section>
<section>
<title>Вкладка «Безпека системи»</title>
<para>На цій вкладці буде показано усіх параметри захисту у лівому стовпчику, їхні
описи у центральному стовпчику та поточні значення у правому стовпчику.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui3.png"/>
</imageobject>
</mediaobject>
<para>Щоб внести зміни до параметра, двічі клацніть на відповідному пункті. У
відповідь буде відкрито нове вікно (див. наведений нижче знімок). У вікні
буде показано назву параметра, короткий опис, поточне і типове значення, а
також спадний список, за допомогою якого можна вибрати це
значення. Натисніть кнопку <guibutton>Гаразд</guibutton>, щоб підтвердити
ваш вибір.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui11.png"/>
</imageobject>
</mediaobject>
<caution>
<para>Не забудьте перед завершенням роботи msecgui зберегти ваші налаштування за
допомогою пункту меню <guimenu>Файл -> Зберегти налаштування</guimenu>. Якщо
вами було внесено зміни до параметрів, msecgui надасть вам змогу попередньо
переглянути список змін, перш ніж ці зміни буде збережено.</para>
</caution>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui10.png"/>
</imageobject>
</mediaobject>
</section>
<section>
<title>Мережева безпека</title>
<para>На цій вкладці буде показано усіх параметри захисту роботи у мережі. Вона
працює у спосіб, подібний до способу роботи попередньої вкладки.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui4.png"/>
</imageobject>
</mediaobject>
</section>
<section>
<title>Вкладка «Періодичні перевірки»</title>
<para>Періодичні перевірки призначено для інформування адміністратора безпеки за
допомогою сповіщень щодо усіх проблем, які msec вважає потенційно
небезпечними.</para>
<para>На цій вкладці буде показано усіх виконані msec періодичні перевірки та їхню
частоту, якщо позначено пункт <guibutton>Увімкнути періодичні перевірки
безпеки</guibutton>. Зміни можна вносити у спосіб, подібний до способу
внесення змін на попередніх вкладках.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui5.png"/>
</imageobject>
</mediaobject>
</section>
<section>
<title>Вкладка «Винятки»</title>
<para>Іноді сповіщення створюються щодо добре відомих і безпечних «проблем». У
таких випадках сповіщення є зайвими і лише витрачатимуть час
адміністратора. За допомогою цієї вкладки ви можете створити довільну
кількість винятків для усування зайвих сповіщень. Під час першого запуску
msec список на цій вкладці, звичайно ж, буде порожнім. На наведеному нижче
знімку не показано жодного винятку.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui6.png"/>
</imageobject>
</mediaobject>
<para>Щоб створити запис винятку, натисніть кнопку <guibutton>Додати
правило</guibutton>.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui7.png"/>
</imageobject>
</mediaobject>
<para>Виберіть бажані періодичні перевірки за допомогою спадного списку
<guilabel>Перевірка</guilabel>, а потім введіть <guilabel>Виняток</guilabel>
до відповідного поля. Звичайно ж, додавання виключення не є остаточним. Ви
можете або вилучити його за допомогою натискання кнопки
<guibutton>Вилучити</guibutton> на вкладці <guilabel>Винятки</guilabel>, або
змінити створений запис винятку подвійним клацанням лівою кнопкою миші на
відповідному пункті.</para>
</section>
<section>
<title>Права доступу</title>
<para>Цю вкладку призначено для налаштовування перевірок прав доступу до файлів і
каталогів та примусового встановлення відповідних прав.</para>
<para>Подібно до рівнів захисту, у msec передбачено різні рівні прав доступу
(standard, secure, ..), які вмикаються відповідно до вибраного рівня
безпеки. Ви можете створювати власні нетипові рівні прав доступу, зберігати
їх до відповідних файлів з назвами <filename>perm.<назва
рівня></filename> до теки <filename>/etc/security/msec/</filename>. Звичайно
ж, цим варто користуватися маючи певний досвід і причину для створення
нетипового рівня. Крім того, можна скористатися вкладкою вікна налаштувань
для внесення змін до вже створених прав доступу. Поточні налаштування
зберігаються у файлі <filename>/etc/security/msec/perms.conf</filename>. Цей
файл містить список усіх змін, які було внесено до прав доступу.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui8.png"/>
</imageobject>
</mediaobject>
<para>Типові права доступу буде показано у форматі списку правил (одне правило на
рядок). У лівому стовпчику буде показано файл або теку, якого стосуються
правила, у наступному стовпчику буде показано власника, далі групу, а потім
стовпчик прав доступу, який надається цим правилом. Якщо для наданого
правила:</para>
<itemizedlist>
<listitem>
<para>пункт <guilabel>Примусити</guilabel> не позначено, msec виконуватиме лише
перевірку, чи виконуються обмеження прав доступу, визначені правилом, і
надсилатиме сповіщення, якщо вони не виконуватимуться, але не вноситиме
ніяких змін.</para>
</listitem>
<listitem>
<para>пункт <guilabel>Примусити</guilabel> позначено, msec виконуватиме перевірку,
чи виконуються обмеження прав доступу, визначені правилом, і виправлятиме
права доступу.</para></listitem>
</itemizedlist>
<important><para>Для того, щоб це спрацювало, слід відповідним чином налаштувати параметр
CHECK_PERMS на <emphasis role="bold">вкладці «Періодичні
перевірки»</emphasis>.</para></important><para>Щоб створити нове правило, натисніть кнопку <guibutton>Додати
правило</guibutton> і заповніть поля так, як це показано у наведеному нижче
прикладі. У полі <guilabel>Файл</guilabel> можна використовувати замінник
*. «current» означає «не вносити зміни».</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui9.png"/>
</imageobject>
</mediaobject>
<para>Натисніть кнопку <guibutton>Гаразд</guibutton>, щоб підтвердити вибір і не
забудьте перед закриттям вікна зберегти ваші налаштування за допомогою
пункту меню <guimenu>Файл -> Зберегти налаштування</guimenu>. Якщо вами було
внесено зміни до параметрів, msecgui надасть вам змогу попередньо
переглянути список змін, перш ніж ці зміни буде збережено. </para>
<note><para>Крім того, можна створювати або вносити зміни до правил за допомогою
редагування файла налаштувань
<filename>/etc/security/msec/perms.conf</filename>.
</para></note>
<caution><para>Зміни на <emphasis role="bold">вкладці «Права доступу»</emphasis> (або
безпосередньо за допомогою файла налаштувань) беруться до уваги під час
виконання першої ж періодичної перевірки (див. пункт CHECK_PERMS на
<emphasis role="bold">вкладці «Періодичні перевірки»</emphasis>). Якщо ви
хочете, щоб зміни було застосовано негайно, скористайтеся командою msecperms
з консолі. Команду слід віддавати від імені користувача root. Щоб
ознайомитися зі списком прав доступу, які буде змінено програмою msecperms,
скористайтеся командою msecperms -p.</para></caution>
<caution><para>Не забувайте, що якщо ви внесете зміни щодо прав доступу до певного файла за
допомогою консольної команди або програми для керування файлами, і пункт
<guilabel>Примусити</guilabel> на <emphasis role="bold">вкладці «Права
доступу»</emphasis> для цього файла буде позначено, msecgui за деякий час
поверне попередні права доступу, відповідно до налаштувань параметрів
CHECK_PERMS та CHECK_PERMS_ENFORCE на <emphasis role="bold">вкладці
«Періодичні перевірки»</emphasis>.</para></caution>
</section>
</section>
</section>
|
