1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
|
<?xml version='1.0' encoding='utf-8'?><section xmlns="http://docbook.org/ns/docbook" xmlns:ns5="http://www.w3.org/1998/Math/MathML" xmlns:ns4="http://www.w3.org/2000/svg" xmlns:ns3="http://www.w3.org/1999/xhtml" xmlns:ns2="http://www.w3.org/1999/xlink" xmlns:ns="http://docbook.org/ns/docbook" version="5.0" xml:lang="et" xml:id="msecgui">
<info>
<title xml:id="msecgui-ti1">MSEC: süsteemi turvalisus ja audit</title>
<subtitle>msecgui</subtitle>
</info>
<mediaobject>
<!-- written by Lebarhon 2014/01/03 To be checked-->
<imageobject>
<imagedata xml:id="msecgui-im1" revision="1" fileref="msecgui.png" align="center" format="PNG"/>
</imageobject>
</mediaobject>
<section>
<title>Tutvustus</title>
<para>Tööriist msecgui<footnote><para>Tööriista saab käsurealt käivitada, kui anda administraatori õigustes käsk
<emphasis role="bold">msecgui</emphasis>.</para>
</footnote> on programmi msec
graafiline kasutajaliides, mis võimaldab seadistada süsteemi turvet kahel
moel:</para>
<itemizedlist>
<listitem>
<para>Sellega saab paika panna süsteemi käitumise, mille korral msec kehtestab
süsteemis muudatused, mis suurendavad selle turvalisust.</para>
</listitem>
<listitem>
<para>See lubab määrata kindlaks perioodilised kontrollid, mida võetakse süsteemis
ette automaatselt, et hoiatada teid, kui miski paistab ohtlikuna.</para>
</listitem>
</itemizedlist>
<para>Programm msec kasutab niinimetatud turbetasemete kontseptsiooni. Need
tasemed hõlmavad teatavat süsteemsete õiguste kogumit, mille põhjal
analüüsitakse süsteemis toimuvaid muutusi. Mõningad tasemed annab Mageia
ette, aga neid saab oma soovi kohaselt muuta ja kohandada.</para>
</section>
<section>
<title>Ülevaate kaart</title>
<para>Pilt on näha ülal.</para>
<para>Esimesel kaardil on ära toodud eri turbetööriistade loetelu, millest paremal
asuvad nupud nende seadistamiseks:</para>
<itemizedlist>
<listitem>
<para>Tulemüür, mille leiab ka juhtimiskeskuses Turvalisus -> Isikliku tulemüüri
seadistamine</para>
</listitem>
<listitem>
<para>Uuendused, mille leiab ka juhtimiskeskuses Tarkvara -> Süsteemi uuendamine</para>
</listitem>
<listitem>
<para>Msec ise koos mõninga teabega:</para>
<itemizedlist>
<listitem>
<para>lubatud või mitte</para>
</listitem>
<listitem>
<para>seadistatud baasturbetase</para>
</listitem>
<listitem>
<para>viimaste perioodiliste kontrollide aeg ning nupud, mis vastavalt näitavad
üksikasjalikumat teavet ja võimaldavad kontrolli kohe käivitada</para>
</listitem>
</itemizedlist>
</listitem>
</itemizedlist>
</section>
<section>
<title>Turbeseadistuste kaart</title>
<para>Klõps teisele sakile või nupule Turve -> <guibutton>Seadista</guibutton>
avab allnähtava akna.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui2.png"/>
</imageobject>
</mediaobject>
<section>
<title>Põhiseadistuste kaart</title>
<para role="underline">
<emphasis role="underline">Turbetasemed:</emphasis>
</para>
<para>Kui olete märkinud kastikese <guilabel>MSEC-i tööriista lubamine</guilabel>,
saab siin kaardil topeltklõpsuga valida sobiva turbetaseme, mida pärast
valimist näidatakse rasvases kirjas. Kui kastike on märkimata, kasutatakse
taset « puudub ». Saadaval on järgmised tasemed:</para>
<orderedlist numeration="arabic">
<listitem>
<para>Tase <emphasis role="bold">puudub</emphasis>. See on hea siis, kui te ei
soovi, et msec majandaks süsteemi turbega, ja eelistate sellega omal käel
hakkama saada. Sel tasemel keelatakse kõik turbekontrollid ning ei piirata
mingil moel süsteemseid seadistusi. Palun valige see tase ainult siis, kui
olete täiesti kindel, et teate, mida teete, sest sel juhul on teie süsteem
rünnakutele avatud.</para>
</listitem>
<listitem>
<para>Tase <emphasis role="bold">standard</emphasis> on vaikimisi rakendatav
seadistus, mida kasutatakse paigaldamisel, kui paigaldaja ei vali midagi
muud. See tavalisele kasutajale sobiv tase sisaldab mõningaid süsteemsete
seadistuste piiranguid ning käivitab igapäevased turbekontrollid, mis
otsivad muudatusi süsteemsetes failides ja kontodes ning kataloogide
õigustes, mis võivad anda võimaluse halba korda saata. (See tase on sarnane
mseci varasemate versioonide tasemetega 2 ja 3.)</para>
</listitem>
<listitem>
<para>Tase <emphasis role="bold">secure</emphasis> on mõeldud selleks, kui
soovite, et süsteem oleks tõeliselt turvaline, aga siiski veel
kasutatav. Süsteemi seadistusi piiratakse veelgi ning perioodilisi
kontrollegi on rohkem. Lisaks piiratakse ligipääsu süsteemile. (See tase on
sarnane mseci varasemate versioonide tasemetega 4 (kõrge) ja 5
(paranoiline).)</para>
</listitem>
<listitem>
<para>Lisaks mainitud tasemetele pakutakse veel mitmeid eesmärgipõhiseid
turbetasemeid, näiteks <emphasis role="bold">fileserver</emphasis>,
<emphasis role="bold">webserver</emphasis> ja <emphasis
role="bold">netbook</emphasis>. Nende puhul üritatakse süsteemi turve
seadistada vastavalt levinumatele kasutusjuhtumitele.</para>
</listitem>
<listitem>
<para>Viimased kaks taset nimetustega <emphasis role="bold">audit_daily
</emphasis> ja <emphasis role="bold">audit_weekly</emphasis> ei ole
õigupoolest päris turbetasemed, vaid pigem ainult tööriistad perioodiliste
kontrollide tarbeks.</para>
</listitem>
</orderedlist>
<para>Tasemed salvestatakse faili
<filename>etc/security/msec/level.<tasemenimi></filename>. Soovi korral
võib paika panna omaenda kohandatud turbetaseme, salvestades selle failina
<filename>level.<tasemenimi></filename> kataloogis
<filename>etc/security/msec/.</filename> See võimalus on mõistagi mõeldud
väga kogenud kasutajatele, kellel on oma vajadused süsteemi turvet enda käe
järgi kohendada.</para>
<caution>
<para>Pidage kindlasti silmas, et kasutaja muudetud parameetreid arvestatakse enne
vaiketaseme määratlusi.</para>
</caution>
<para>
<emphasis role="underline">Turbehoiatused:</emphasis>
</para>
<para>Kui märkida ära kastike <guibutton>Turbehoiatuste saatmine
e-postiga:</guibutton>, saadetakse mseci loodud turbehoiatused kohalikule
e-posti aadressile turbeadministraatorile, kelle nimi tuleb kirja panna
kõrval asuval väljal. Sinna võib kirjutada kas kohaliku kasutajanime või
täieliku e-posti aadressi (selle huvides peavad olema vajalikult seadistatud
kohalik e-post ja e-posti haldur). Samuti võib lasta turbehoiatusi näidata
otse töölaual, milleks tuleb ära märkida vastav kastike.</para>
<important>
<para>Turbehoiatuste edastamine on äärmiselt soovitatav sisse lülitada, et
turbeadministraator saab õigeaegselt teada võimalikest
probleemidest. Vastasel juhul peab administraator järjepidevalt uurima
logifaile, mis salvestatakse kataloogi
<filename>/var/log/security.</filename></para></important>
<para><emphasis role="underline">Turbevalikud:</emphasis></para>
<para>Kohandatud taseme loomine ei ole ainuke viis sättida arvuti turvet oma käe
järgi: samamoodi võib kasutada tööriista eri kaarte, et muuta just neid
valikuid, mida vaja. Mseci kehtiv seadistus on salvestatud faili
<filename>/etc/security/msec/security.conf</filename>. See sisaldab nii
kehtivat turbetaseme nime kui ka loetelu kõigist muudetud valikutest.</para>
</section>
<section>
<title>Süsteemi turvalisuse kaart</title>
<para>Sellel kaardil võib näha vasakus veerus turbevalikut, keskmises veerus selle
kirjeldust ja paremas veerus kehtivat väärtust.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui3.png"/>
</imageobject>
</mediaobject>
<para>Mõne valiku muutmiseks tehke sellel topeltklõps, mille järel ilmub uus aken
(vt pilti allpool). Selles on näha valiku nimi, lühike kirjeldus, kehtiv ja
vaikeväärtus ning ripploend, milles saab valida uue väärtuse. Klõpsuga
nupule <guibutton>Olgu</guibutton> saab muudatuse kinnitada.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui11.png"/>
</imageobject>
</mediaobject>
<caution>
<para>Ärge unustage tööriista sulgedes oma seadistust lõplikult salvestamast
menüükäsuga <guimenu>Fail -> Salvesta seadistus</guimenu>. Kui olete
seadistusi muutnud, annab msecgui võimaluse need enne salvestamist üle
vaadata.</para>
</caution>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui10.png"/>
</imageobject>
</mediaobject>
</section>
<section>
<title>Võrguturvalisuse kaart</title>
<para>Sellelt kaardilt leiab võrguga seotud valikud ja kõik käib siin samamoodi
nagu eelmisel kaardil.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui4.png"/>
</imageobject>
</mediaobject>
</section>
<section>
<title>Perioodiliste kontrollide kaart</title>
<para>Perioodiliste kontrollide eesmärk on anda turbehoiatuste abil
turbeadministraatorile teada kõigest, mida msec peab võimalikuks ohuks.</para>
<para>Kui märkida kastike <guibutton>Perioodiliste turbekontrollide
lubamine</guibutton>, näeb sellel kaardil kõiki mseci sooritatavaid
perioodilisi kontrolle ja nende sagedust. Muudatusi saab siin teha samamoodi
nagu eespool kirjeldatud kaartidel.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui5.png"/>
</imageobject>
</mediaobject>
</section>
<section>
<title>Erandite kaart</title>
<para>Mõnikord käivad hoiatused hästi teada ja soovitud olukorra kohta. Sel juhul
ei ole neil tegelikult mõtet ja nad vaid raiskavad administraatori
aega. Sellel kaardil saab luua nii palju erandeid kui vaja, et vältida
tarbetuid turbehoiatusi. Enesest mõista on see kaart mseci esmakäivitusel
tühi. Allpool oleval pildil on näha neli erandit.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui6.png"/>
</imageobject>
</mediaobject>
<para>Erandi loomiseks tuleb klõpsata nupule <guibutton>Lisa reegel</guibutton>.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui7.png"/>
</imageobject>
</mediaobject>
<para>Valige vajalik perioodiline kontroll ripploendist
<guilabel>Kontroll</guilabel> ja kirjutage erand tekstikasti
<guilabel>Erand</guilabel>. Erandi lisamine ei ole mõistagi midagi jäävat:
selle võib kustutada <guilabel>erandite</guilabel> kaardil klõpsuga nupule
<guibutton>Kustuta</guibutton>, samuti võib seda topeltklõpsuga muuta.</para>
</section>
<section>
<title>Õiguste kaart</title>
<para>Sellel kaardil saab kontrollida ja jõustada failide ja kataloogide õigusi.</para>
<para>Nagu turvalisuse puhul, kasutab msec ka õiguste puhul mitmesuguseid tasemeid
(standard, secure jne), mida kehtestatakse vastavalt valitud
turbetasemele. Soovi korral saab luua omaenda õigustetasemeid, salvestades
need faili <filename>perm.<tasemenimi></filename> kataloogis
<filename>etc/security/msec/</filename>. See võimalus on mõeldud väga
kogenud kasutajatele, kel läheb tarvis kohandatud seadistust. Samuti saab
siinsamas kaardil muuta õigusi just selliseks nagu vaja. Kehtiv seadustus on
salvestatud faili <filename>/etc/security/msec/perms.conf.</filename> Selles
leiab loetelu kõigist õiguste muudatustest.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui8.png"/>
</imageobject>
</mediaobject>
<para>Vaikimisi õigusi kuvatakse reeglite loendina (üks reegel rea kohta). Alates
vasakult antakse teada reegliga hõlmatud fail või kataloog, seejärel selle
omanik, grupp ja lõpuks õigused. Kui reegli puhul</para>
<itemizedlist>
<listitem>
<para>kastike <guilabel>Jõuga kehtestamine</guilabel> ei ole märgitud, kontrollib
msec ainult seda, kas reeglis määratud õigused kehtivad, ning saadab
turvahoiatuse, kui see nii pole, aga ei muuda ise midagi.</para>
</listitem>
<listitem>
<para>kui kastike <guilabel>Jõuga kehtestamine</guilabel> on märgitud, kontrollib
msec esimese perioodilise kontrolli ajal õiguste vastavust reeglile ning
kirjutab need erinevuse korral üle.</para></listitem>
</itemizedlist>
<important><para>Et see toimiks, peab <emphasis role="bold">perioodiliste kontrollide
kaardil</emphasis> olema valik CHECK_PERMS sobivalt seadistatud.</para></important><para>Uue reegli loomiseks klõpsake nupule <guibutton>Lisa reegel</guibutton> ja
täitke väljad, nagu näha alloleval pildil. Väljal <guilabel>Fail</guilabel>
võib kasutada metamärki *. “current” tähendab, et midagi ei muudeta.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui9.png"/>
</imageobject>
</mediaobject>
<para>Muudatuste jõustamiseks klõpsake nupule <guibutton>Olgu</guibutton> ning
kindlasti ärge unustage enne tööriistast väljumist kõiki muudatusi
salvestamast menüükäsuga <guimenu>Fail -> Salvesta seadistus</guimenu>. Kui
olete seadistusi muutnud, annab msecgui võimaluse need enne salvestamist üle
vaadata. </para>
<note><para>Reegleid võib samuti luua või muuta seadistustefaili
<filename>/etc/security/msec/perms.conf</filename> redigeerides.
</para></note>
<caution><para><emphasis role="bold">Õiguste kaardil</emphasis> (või otse
seadistustefailis) tehtud muudatusi võetakse arvesse esimesel perioodilisel
kontrollil (vt valikut CHECK_PERMS <emphasis role="bold">perioodiliste
kontrollide kaardil</emphasis>). Kui soovite, et neid kohe arvestataks,
kasutage käsureal administraatori õigustes käsku msecperms. Eelnevalt võib
anda käsu msecperms -p, millega saab teada õigused, mida msecperms muudab.</para></caution>
<caution><para>Pange kindlasti tähele, et kui muudate õigusi käsureal või failihalduris,
siis faili puhul, millel on <emphasis role="bold">õiguste kaardil</emphasis>
ära märgitud kastike <guilabel>Jõuga kehtestamine</guilabel>, kirjutab
msecgui mõne aja pärast vanad õigused tagasi vastavalt valikutele
CHECK_PERMS ja CHECK_PERMS_ENFORCE <emphasis role="bold">perioodiliste
kontrollide kaardil</emphasis>.</para></caution>
</section>
</section>
</section>
|