1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
|
<?xml version='1.0' encoding='utf-8'?><section xmlns="http://docbook.org/ns/docbook" xmlns:ns5="http://www.w3.org/1998/Math/MathML" xmlns:ns4="http://www.w3.org/2000/svg" xmlns:ns3="http://www.w3.org/1999/xhtml" xmlns:ns2="http://www.w3.org/1999/xlink" xmlns:ns="http://docbook.org/ns/docbook" version="5.0" xml:lang="fr" xml:id="msecgui">
<info>
<title xml:id="msecgui-ti1">Configurer la sécurité, les droits et la surveillance du système</title>
<subtitle>msecgui</subtitle>
</info>
<mediaobject>
<!-- written by Lebarhon 2014/01/03 To be checked-->
<imageobject>
<imagedata xml:id="msecgui-im1" revision="1" fileref="msecgui.png" align="center" format="PNG"/>
</imageobject>
</mediaobject>
<section>
<title>Présentation</title>
<para>MSECGUI<footnote><para>Il est possible de démarrer cet outil depuis la ligne de commande, en tapant
<emphasis role="bold">msecgui</emphasis> sous root.</para>
</footnote> est une interface graphique
pour MSEC qui permet de configurer votre système de sécurité selon deux
approches :</para>
<itemizedlist>
<listitem>
<para>Il règle le comportement du système, MSEC applique des modifications
obligatoires au système pour le rendre plus sûr.</para>
</listitem>
<listitem>
<para>Il paramètre des vérifications périodiques et automatiques du système afin
de vous avertir si quelquechose semble dangereux.</para>
</listitem>
</itemizedlist>
<para>Msec utilise le concept de "niveaux de sécurité", qui servent à configurer
un ensemble d'autorisations du système. Ces autorisations peuvent être
contrôlées pour être modifiées ou confirmées. Plusieurs niveaux sont
proposés par Mageia, mais vous pouvez définir vos propres niveaux de
sécurité personnalisés.</para>
</section>
<section>
<title>Vue générale</title>
<para>Voir la copie d'écran ci-dessus.</para>
<para>Le premier onglet affiche la liste des différents outils de sécurité avec un
bouton sur le côté droit pour permettre de les configurer :</para>
<itemizedlist>
<listitem>
<para>Pare-feu, accessible également dans le CCM / Sécurité / Configurer votre
pare-feu personnel</para>
</listitem>
<listitem>
<para>Mises à jour, accessible également dans le CCM / Gestion des logiciels /
Mettre à jour votre système</para>
</listitem>
<listitem>
<para>Sécurité, c'est-à-dire Msec lui-même en plus de quelques informations :</para>
<itemizedlist>
<listitem>
<para>activé ou non</para>
</listitem>
<listitem>
<para>le niveau de sécurité de base actuel</para>
</listitem>
<listitem>
<para>La date des dernières vérifications périodiques, avec un bouton pour
consulter un rapport détaillé et un autre bouton pour exécuter immédiatement
les vérifications.</para>
</listitem>
</itemizedlist>
</listitem>
</itemizedlist>
</section>
<section>
<title>Onglet Paramètres de sécurité</title>
<para>Un clic sur le deuxième onglet ou sur le bouton
<guibutton>Configurer</guibutton> de Sécurité affiche l'écran ci-dessous.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui2.png"/>
</imageobject>
</mediaobject>
<section>
<title>Onglet Sécurité de base</title>
<para role="underline">
<emphasis role="underline">Niveaux de sécurité :</emphasis>
</para>
<para>Après avoir coché la case <guilabel>Activer l'outil MSEC</guilabel>, cet
onglet vous permet de sélectionner votre niveau de sécurité grâce à un
double-clic. Ce niveau s'affiche alors en gras. Si la case n'est pas cochée,
le niveau "Aucun" s'applique. Les niveaux suivants sont disponibles :</para>
<orderedlist numeration="arabic">
<listitem>
<para>Niveau <emphasis role="bold">aucun</emphasis>. Ce niveau s'applique si vous
ne désirez pas utiliser Msec pour contrôler la sécurité de votre système, et
que vous préférez le faire par vous-même. Il désactive toutes les
vérifications de sécurité, n'impose aucune restriction ou contrainte sur les
paramètres et la configuration de votre système. N'utlisez ce niveau que si
vous savez ce que vous faites, car il laissera votre système vulnérable à
une attaque.</para>
</listitem>
<listitem>
<para>Niveau <emphasis role="bold">standard</emphasis>. Ceci est la configuration
par défaut, destinée aux utilisateurs habituels. Il impose des contraintes à
plusieurs paramètres du système et exécute des vérification de sécurité
quotidiennes. Celles-ci détectent des modifications dans le système de
fichiers, dans les comptes des utilisateurs, ainsi que des droits de
répertoire vulnérables (ce niveau est identique aux niveaux 2 et 3 des
versions précédentes de Msec).</para>
</listitem>
<listitem>
<para>Niveau <emphasis role="bold">secure</emphasis>. Ce niveau vous assure que
votre système est sécurisé, mais toujours utilisable au quotidien. Il limite
les autorisations du système et exécute des vérifications périodiques plus
nombreuses. En outre, l'accès à votre système est plus restreint (ce niveau
est similaire aux niveaux 4 - High - et 5 - Paranoid - des versions
précédentes de Msec).</para>
</listitem>
<listitem>
<para>A côté de ces niveaux, d'autres spécifiques à certaines tâches sont
également proposés, tels que les niveaux <emphasis role="bold">fileserver
</emphasis>, <emphasis role="bold">webserver</emphasis> et <emphasis
role="bold">netbook</emphasis>. Ces derniers pré-configurent la sécurité du
système selon les cas d'utilisation les plus courants.</para>
</listitem>
<listitem>
<para>Les deux derniers niveaux dénommés <emphasis
role="bold">audit_daily</emphasis> et <emphasis
role="bold">audit_weekly</emphasis> ne sont pas vraiment des niveaux de
sécurité mais plutôt des outils dédiés à réaliser uniquement des
vérifications périodiques.</para>
</listitem>
</orderedlist>
<para>Ces niveaux sont sauvegardés dans
<filename>/etc/security/msec/level.<levelname></filename>. Vous pouvez
définir vos propres niveaux de sécurité personnalisés, puis les sauvegarder
dans des fichiers spécifiques dénommés
<filename>level.<levelname></filename> et placés dans le répertoire
<filename>/etc/security/msec/.</filename> Cette fonctionnalité est dédiée
aux utilisateurs experts qui veulent une configuration système personnalisée
ou plus sécurisée.</para>
<caution>
<para>Gardez à l'esprit que les paramètres modifiés par l'utilisateur ont la
priorité sur les réglages par défaut.</para>
</caution>
<para>
<emphasis role="underline">Alertes de sécurité :</emphasis>
</para>
<para>Si vous cochez la case <guibutton>Envoi d'alertes de sécurité par courriel à
:</guibutton>, les alertes de sécurité générées par Msec sont adressées par
un courriel local à l'administrateur de sécurité indiqué dans le champ
voisin. Vous pouvez y saisir soit un utilisateur local soit une adresse de
courriel complète (le courriel local et le gestionnaire de courriel doivent
avoir été paramétrés en conséquence). En outre, vous pouvez recevoir les
alertes de sécurité directement sur votre bureau. Cochez la case
correspondante pour activer cette fonctionnalité.</para>
<important>
<para>Il est fortement recommandé d'activer l'option des alertes de sécurité afin
d'informer immédiatement l'administrateur de sécurité de possibles
problèmes. Dans le cas contraire, l'administrateur devra vérifier
régulièrement les fichiers de journaux disponibles dans
<filename>/var/log/security.</filename></para></important>
<para><emphasis role="underline">Options de sécurité :</emphasis></para>
<para>Créer un niveau spécifique n'est pas l'unique moyen de personnaliser la
sécurité de l'ordinateur, il est également possible d'utiliser les onglets
présentés ci-après pour modifier l'option désirée. La configuration actuelle
de Msec est sauvegardée dans
<filename>/etc/security/msec/security.conf</filename>. Ce fichier contient
le nom du niveau de sécurité en cours et la liste de toutes les
modifications apportées aux options.</para>
</section>
<section>
<title>Onglet Sécurité du système</title>
<para>Cet onglet affiche toutes les options de sécurité sur la colonne de gauche,
leurs descriptions dans la colonne centrale et leurs valeurs actuelles dans
la colonne de droite.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui3.png"/>
</imageobject>
</mediaobject>
<para>Pour modifier une option, double-cliquer sur elle et une nouvelle fenêtre
apparaît (voir l'image ci-dessous). Elle affiche le nom de l'option, une
courte description, les valeurs actuelle et par défaut, ainsi qu'une liste
déroulante pour sélectionner une nouvelle valeur. Cliquer sur le bouton
<guibutton>OK</guibutton> pour valider votre choix.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui11.png"/>
</imageobject>
</mediaobject>
<caution>
<para>En quittant Msecgui, n'oubliez pas de sauvegarder définitivement votre
configuration en utilisant le menu <guimenu>Fichier -> Sauvergarder la
configuration</guimenu>. Si vous avez modifié des paramètres, Msecgui vous
permettra de prévisualiser les changements avant de les sauvegarder.</para>
</caution>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui10.png"/>
</imageobject>
</mediaobject>
</section>
<section>
<title>Sécurité du Réseau</title>
<para>Cet onglet affiche toutes les options de sécurité du réseau et se paramètre
comme l'onglet précédent. </para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui4.png"/>
</imageobject>
</mediaobject>
</section>
<section>
<title>Onglet Vérifications périodiques</title>
<para>Les vérifications périodiques ont pour but d'informer l'administrateur par
le biais d'alertes de sécurité, pour toutes les situations que Msec estime
potentiellement dangeureuses.</para>
<para>Cet onglet affiche toutes les vérifications périodiques effectuées par Msec
ainsi que leur fréquence, lorsque la case <guibutton>Activer les
vérifications périodiques</guibutton> est cochée. Les modifications sont
appliquées comme dans les onglets précédents.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui5.png"/>
</imageobject>
</mediaobject>
</section>
<section>
<title>Onglet Exceptions</title>
<para>Parfois les messages d'alertes sont dûs à des cas connus et voulus. Dans ces
cas ces messages sont peu utiles et une perte de temps pour
l'administrateur. Cet onglet vous permet de créer autant d'exceptions que
vous le voulez pour éviter des messages d'alertes indésirables. Il est
évidemment vide au premier démarrage de Msec.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui6.png"/>
</imageobject>
</mediaobject>
<para>Pour créer une exception, cliquer sur le bouton <guibutton>Ajouter une
règle</guibutton></para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui7.png"/>
</imageobject>
</mediaobject>
<para>Sélectionnez la vérification périodique voulue dans la liste déroulante
<guilabel>Vérification</guilabel> puis saisissez <guilabel>l'
Exception</guilabel> dans la zone de texte. Ajouter une exception n'est
évidemment pas définitif, vous pouvez également la supprimer en utilisant le
bouton <guibutton>Supprimer</guibutton> de l'onglet
<guilabel>Exceptions</guilabel> ou la modifier avec un double-clic.</para>
</section>
<section>
<title>Autorisations</title>
<para>L'onglet est dédié à la vérification et à la confirmation des permissions
des répertoires et des fichiers.</para>
<para>Comme pour la sécurité, msec possède plusieurs niveaux de permissions
(standard, secure, ...), ils sont activés en fonction du niveau de sécurité
choisi. Vous pouvez créer et personnaliser votre propre niveau de
permissions, qui sera sauvegardé sous le nom de
<filename>perm.<levelname></filename>et sera placé dans le dossier
<filename>/etc/security/msec/</filename>. Cette fonctionnalité est prévu
pour les utilisateurs avancés qui ont besoin d'une configuration sur
mesure. Il est également possible de revenir sur cet onglet ultérieurement
pour modifier les permissions. La configuration actuelle est sauvegardé dans
<filename>/etc/security/msec/perms.conf</filename> Ce fichier contient la
liste de tout les modifications effectuées sur les permissions.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui8.png"/>
</imageobject>
</mediaobject>
<para>Les permissions par défaut sont affichées dans une liste de règles (une
règle par ligne). Vous pouvez voir sur le côté gauche le fichier ou le
répertoire concerné par la règle, suivi du propriétaire, du groupe, puis des
permissions accordées par la règle. Si, pour une règle donnée :</para>
<itemizedlist>
<listitem>
<para>La case <guilabel>Forcer</guilabel> n'est pas cochée, MSEC vérifie alors
uniquement si les permissions définies pour cette règle sont respectées et
envoie un message d'alerte dans le cas contraire, mais ne modifie rien.</para>
</listitem>
<listitem>
<para>La case <guilabel>Forcer</guilabel> est cochée, MSEC ne respectera donc pas
les permissions à la première vérification périodique et les écrasera.</para></listitem>
</itemizedlist>
<important><para>Pour que cela fonctionne, l'option CHECK_PERMS dans <emphasis
role="bold">l'onglet de vérification périodique</emphasis> doit être
configuré en conséquence.</para></important><para>Pour créer une nouvelle règle, cliquer sur le bouton <guibutton>Ajouter une
règle</guibutton> et renseigner les champs comme indiqué dans l'exemple
ci-dessous. Le caractère joker * est autorisé dans le champ
<guilabel>Fichier</guilabel>. “Actuel" signifie aucune modification.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui9.png"/>
</imageobject>
</mediaobject>
<para>Cliquer sur le bouton <guibutton>Valider</guibutton> pour confirmer votre
choix. Ne pas oublier, en quittant Msecgui, de sauvegarder définitivement
votre configuration par le menu <guimenu>Fichier -> Sauvegarder la
configuration</guimenu>. Si vous avez modifié les paramètres, Msecgui vous
permettra de prévisualiser les changements avant de les sauvegarder. </para>
<note><para>Il est également possible de créer ou de modifier les paramètres en éditant
le fichier de configuration
<filename>/etc/security/msec/perms.conf</filename>.
</para></note>
<caution><para>Les modifications dans l'onglet <emphasis role="bold">Permissions</emphasis>
(ou directement dans le fichier de configuration) sont prises en compte à la
première vérification périodique (voir l'option CHECK_PERMS dans l'onglet
<emphasis role="bold">Vérifications périodiques</emphasis>). Si vous voulez
qu'elles soient prises en compte immédiatement, utiliser la commande
<emphasis role="bold">msecperms</emphasis> dans une console avec les droits
d'administrateur. Vous pouvez utiliser auparavant la commande <emphasis
role="bold">msecperms -p</emphasis> pour connaître les permissions qui
seront modifiées par msecperms.</para></caution>
<caution><para>N'oubliez pas que si vous modifiez les droits - dans une console ou un
gestionnaire de fichiers - d'un fichier dont la case
<guilabel>Forcer</guilabel> est cochée dans l'onglet <emphasis
role="bold">Permissions</emphasis>, Msecgui rétablira les anciennes
permissions après un certain temps, selon la configuration des options
CHECK_PERMS et CHECK_PERMS_ENFORCE dans l'onglet <emphasis
role="bold">vérifications périodiques</emphasis>.</para></caution>
</section>
</section>
</section>
|
