1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
|
<?xml version='1.0' encoding='utf-8'?><section xmlns="http://docbook.org/ns/docbook" xmlns:ns5="http://www.w3.org/1998/Math/MathML" xmlns:ns4="http://www.w3.org/2000/svg" xmlns:ns3="http://www.w3.org/1999/xhtml" xmlns:ns2="http://www.w3.org/1999/xlink" xmlns:ns="http://docbook.org/ns/docbook" version="5.0" xml:lang="ro" xml:id="msecgui">
<info>
<title xml:id="msecgui-ti1">MSEC: Securitate și audit de sistem</title>
<subtitle>msecgui</subtitle>
</info>
<mediaobject>
<!-- written by Lebarhon 2014/01/03 To be checked-->
<imageobject>
<imagedata xml:id="msecgui-im1" revision="1" fileref="msecgui.png" align="center" format="PNG"/>
</imageobject>
</mediaobject>
<section>
<title>Prezentare</title>
<para>msecgui<footnote><para>Puteți lansa această unealtă din linia de comandă, tastînd <emphasis
role="bold">msecgui</emphasis> ca root.</para>
</footnote> este o interfață grafică pentru
MSEC care vă permite să configurați securitatea sistemului de două maniere:</para>
<itemizedlist>
<listitem>
<para>Definește comportamentul sistemului, MSEC impune modificări sistemului
pentru a-l face mai securizat.</para>
</listitem>
<listitem>
<para>Efectuează în mod automat verificări periodice ale sistemului pentru a ne
putea avertiza dacă ceva pare a fi periculos.</para>
</listitem>
</itemizedlist>
<para>MSEC utilizează conceptul de „nivele de securitate” care sînt destinate să
configureze un set de permisiuni pentru sistem. Acestea pot fi auditate
pentru modificări sau forțare. O parte din ele sînt propuse de Mageia, însă
vă puteți defini propriile nivele de securitate personalizate.</para>
</section>
<section>
<title>Vedere de ansamblu</title>
<para>A se vedea în imaginea de mai sus</para>
<para>Prima categorie afișează lista diferitelor unelte de securitate cu un buton
în dreapta pentru a le putea configura:</para>
<itemizedlist>
<listitem>
<para>Parafoc, accesibil și din CCM / Securitate / Configurați parafocul personal</para>
</listitem>
<listitem>
<para>Actualizări, accesibil și din CCM / Gestionare aplicații / Actualizați
sistemul</para>
</listitem>
<listitem>
<para>Securitate, adică MSEC însuși în plus de cîteva informații:</para>
<itemizedlist>
<listitem>
<para>activat sau nu</para>
</listitem>
<listitem>
<para>nivelul de securitate de bază actual</para>
</listitem>
<listitem>
<para>Data ultimei verificări periodice, un buton pentru a afișa un raport
detaliat și un alt buton pentru a executa verificările chiar acum.</para>
</listitem>
</itemizedlist>
</listitem>
</itemizedlist>
</section>
<section>
<title>Secțiunea parametrilor de securitate</title>
<para>Un clic pe a doua categorie sau pe butonul
<guibutton>Configurează</guibutton> din „Securitate” vă conduce la același
ecran ca cel de mai jos.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui2.png"/>
</imageobject>
</mediaobject>
<section>
<title>Secțiunea securitate de bază</title>
<para role="underline">
<emphasis role="underline">Nivele de securitate:</emphasis>
</para>
<para>După ce ați bifat căsuța <guilabel>Activează utilitarul MSEC</guilabel>,
această secțiune vă permite printr-un dublu clic să alegeți nivelul de
securitate care va apărea atunci în caractere aldine. Dacă nu este bifată,
nivelul „neant” este aplicat. Următoarele nivele sînt disponibile:</para>
<orderedlist numeration="arabic">
<listitem>
<para>Nivelul <emphasis role="bold">neant</emphasis>. Acest nivel se aplică dacă
nu doriți să utilizați MSEC pentru a controla securitatea sistemului și
doriți s-o faceți voi înșivă. Va dezactiva toate verificările de securitate
și nu impune nicio restricție sau constrîngere asupra parametrilor sau
configurației sistemului. Utilizați acest nivel numai dacă știți ce faceți,
deoarece vă lasă sistemul vulnerabil la atacuri.</para>
</listitem>
<listitem>
<para>Nivelul <emphasis role="bold">standard</emphasis>. Este configurația
implicită la instalare și este destinată utilizatorilor obișnuiți. Impune
cîteva constrîngeri asupra configurației sistemului și execută verificări
zilnice pentru detectarea modificărilor în fișierele sistem, conturile
utilizatorilor și autorizațiile directoarelor vulnerabile. (acest nivel este
similar cu nivelele 2 și 3 din versiunile anterioare de MSEC)</para>
</listitem>
<listitem>
<para>Nivelul <emphasis role="bold">securizat</emphasis>. Acest nivel vă asigură
un sistem securizat, însă utilizabil. Restricționează și mai mult
autorizațiile sistemului și execută mai multe verificări periodice. În plus,
accesul la sistem este și mai restrîns. (acest nivel este similar cu
nivelele 4 (înalt) și 5 (paranoic) din versiunile anterioare de MSEC)</para>
</listitem>
<listitem>
<para>În plus de aceste nivele, mai sînt furnizate și altele specifice diferitelor
sarcini, precum nivele <emphasis role="bold">fileserver </emphasis>,
<emphasis role="bold">webserver</emphasis> și <emphasis
role="bold">netbook</emphasis>. Acestea pre-configurează securitatea
sistemului în funcție de modurile de utilizare cele mai frecvente.</para>
</listitem>
<listitem>
<para>Ultimele două, intitulate <emphasis role="bold">audit_daily </emphasis> și
<emphasis role="bold">audit_weekly</emphasis>, nu sînt nivele de securitate
propriu zise, ci mai degrabă utilitare pentru verificările periodice.</para>
</listitem>
</orderedlist>
<para>Aceste nivele sînt salvate în
<filename>etc/security/msec/level.<levelname></filename>. Vă puteți
defini propriile nivele de securitate personalizate, salvîndu-le în fișiere
specifice intitulate <filename>level.<levelname></filename> și plasate în
directorul <filename>etc/security/msec/</filename>. Această funcționalitate
este destinată utilizatorilor avansați care au nevoie de un sistem
personalizat sau mult mai securizat.</para>
<caution>
<para>Aveți în vedere că parametrii modificați de utilizator au prioritate față de
configurațiile nivelelor implicite.</para>
</caution>
<para>
<emphasis role="underline">Alerte de securitate:</emphasis>
</para>
<para>Dacă ați bifat căsuța <guibutton>Trimite alertele de securitate pe e-mail
la:</guibutton>, alertele de securitate generate de MSEC vor fi trimise pe
e-mail local administratorului de securitate indicat în cîmpul
învecinat. Puteți specifica ori un utilizator local, ori o adresă de e-mail
completă (e-mailul local și gestionarul de e-mail trebuiesc specificate în
consecință). Totuși, puteți primi alertele de securitate direct pe biroul
personal. Bifați căsuța corespunzătoare pentru a-l activa.</para>
<important>
<para>Este foarte recomandat să activați alertele de securitate pentru a informa
imediat administratorul de securitate de posibilele probleme de
securitate. Altfel, administratorul va trebuie să verifice periodic
fișierele jurnal disponibile în <filename>/var/log/security</filename>.</para></important>
<para><emphasis role="underline">Opțiuni de securitate:</emphasis></para>
<para>Crearea de nivele de securitate personalizate nu este singura cale pentru a
personaliza securitatea sistemului. Se mai pot utiliza și categoriile
prezentate imediat după pentru a modifica opțiunile dorite. Configurația
MSEC curentă se află în
<filename>/etc/security/msec/security.conf</filename>. Acest fișier conține
numele nivelului de securitate și lista tuturor modificărilor făcute asupra
opțiunilor.</para>
</section>
<section>
<title>Secțiunea securității sistemului</title>
<para>În această secțiune sînt afișate toate opțiunile de securitate în coloana
din stînga, o descriere în coloana din centru și valorile lor actuale în
coloana din dreapta.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui3.png"/>
</imageobject>
</mediaobject>
<para>Pentru a modifica o opțiune faceți dublu clic pe ea și va apărea o fereastră
nouă (a se vedea în captura de ecran de mai jos). Sînt afișate numele
opțiunii, o scurtă descriere, valora actuală și cea implicită, cît și o
listă derulantă de unde poate fi selectată noua valoare. Apăsați pe butonul
<guibutton>OK</guibutton> pentru a valida alegerea.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui11.png"/>
</imageobject>
</mediaobject>
<caution>
<para>Nu uitați cînd părăsiți msecgui să vă salvați configurația finală utilizînd
meniul <guimenu>Fișier -> Salvează configurația</guimenu>. Dacă ați făcut
modificări, msecgui vă permite să le previzualizați înainte de a le salva.</para>
</caution>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui10.png"/>
</imageobject>
</mediaobject>
</section>
<section>
<title>Securitate rețea</title>
<para>În această secțiune sînt afișate toate opțiunile de rețea și funcționează ca
și secțiunea precedentă.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui4.png"/>
</imageobject>
</mediaobject>
</section>
<section>
<title>Secțiunea verificărilor periodice</title>
<para>Verificările periodice au ca scop să informeze administratorul de securitate
prin intermediul alertelor de securitate despre toate situațiile pe care
MSEC le consideră periculoase.</para>
<para>Acest tab afișează toate verificările de securitate efectuate de MSEC și
frecvența lor dacă bifați căsuța <guibutton>Activează verificările periodice
de securitate</guibutton>. Modificările se fac la fel ca și în tabul
precedent.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui5.png"/>
</imageobject>
</mediaobject>
</section>
<section>
<title>Categoria excepțiilor</title>
<para>Uneori mesajele de alertă sînt datorate unor situații cunoscute și voite. În
acest caz alertele sînt inutile și reprezintă o pierdere de timp pentru
administrator. Această secțiune vă permite să creați cîte excepții doriți
pentru a evita mesajele de alertă nedorite. În mod evident acesta este gol
cînd MSEC este lansat pentru prima oară. Imaginea de mai jos afișează patru
excepții.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui6.png"/>
</imageobject>
</mediaobject>
<para>Pentru a crea o excepție apăsați pe butonul <guibutton>Adaugă o
regulă</guibutton></para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui7.png"/>
</imageobject>
</mediaobject>
<para>Selectați verificarea periodică dorită în lista derulantă intitulată
<guilabel>Verifică</guilabel> și apoi introduceți
<guilabel>Excepția</guilabel> în zona de text. Bine înțeles, adăugarea unei
excepții nu este definitivă, o puteți șterge cu butonul
<guibutton>Șterge</guibutton> din categoria <guilabel>Excepții</guilabel>
sau o puteți modifica printr-un dublu clic.</para>
</section>
<section>
<title>Permisiuni</title>
<para>Această secțiune este dedicată verificării și forțării permisiunilor
fișierelor și directoarelor.</para>
<para>Ca și pentru securitate, diferitele nivelele proprii de securitate MSEC
(standard, securizat, ...) sînt activate în funcție de nivelul de securitate
ales. Vă puteți defini propriile nivele de securitate personalizate,
salvîndu-le în fișiere specifice intitulate
<filename>perm.<levelname></filename> și plasate în directorul
<filename>etc/security/msec/</filename>. Această funcționalitate este
destinată utilizatorilor avansați care au nevoie de o configurație
personalizată. Este de asemenea posibil să utilizați această secțiune pentru
a modifica orice permisiune după plac. Configurația curentă se află în
<filename>/etc/security/msec/perms.conf.</filename>. Acest fișier conține
lista tuturor modificărilor făcute asupra permisiunilor. </para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui8.png"/>
</imageobject>
</mediaobject>
<para>Permisiunile implicite sînt afișate sub forma unei liste cu reguli (o regulă
pe linie). În partea stîngă puteți vedea fișierul sau directorul vizat de
regulă, urmate de proprietar, de grup și apoi de permisiunile acordate de
regulă. Dacă, pentru o regulă dată:</para>
<itemizedlist>
<listitem>
<para>Căsuța <guilabel>Forțează</guilabel> nu este bifată, MSEC verifică doar dacă
sînt respectate permisiunile definite pentru această regulă și trimite un
mesaj de alertă în caz contrar, însă nu modifică nimic.</para>
</listitem>
<listitem>
<para>Căsuța <guilabel>Forțează</guilabel> este bifată, în acest caz MSEC nu va
ține cont de permisiuni la prima verificare periodică și le va suprascrie.</para></listitem>
</itemizedlist>
<important><para>Pentru ca să funcționeze, opțiunea CHECK_PERMS din <emphasis
role="bold">Secțiunea verificărilor periodice</emphasis> trebuie să fie
configurată corespunzător.</para></important><para>Pentru a crea o regulă nouă, apăsați pe butonul <guibutton>Adaugă o regulă
nouă</guibutton> și completați cîmpurile ca în exemplul de mai
jos. Metacaracterul * este permis în cîmpul
<guilabel>Fișier</guilabel>. „Curent” înseamnă fără nicio modificare.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui9.png"/>
</imageobject>
</mediaobject>
<para>Apăsați pe butonul <guibutton>OK</guibutton> pentru a valida alegerea și nu
uitați cînd părăsiți să salvați configurația finală utilizînd meniul
<guimenu>Fișier -> Salvează configurația</guimenu>. Dacă ați făcut
modificări, msecgui vă permite să le previzualizați înainte de a le salva. </para>
<note><para>Este de asemenea posibil să creați sau să modificați regulile editînd
fișierul de configurare <filename>/etc/security/msec/perms.conf</filename>.
</para></note>
<caution><para>Modificările din <emphasis role="bold">Categoria permisiunilor</emphasis>
(sau direct în fișierul de configurare) sînt luate în considerare la prima
verificare periodică (vedeți opțiunea CHECK_PERMS din <emphasis
role="bold">Categoria verificărilor periodice</emphasis>). Dacă doriți să
fie luate în considerare imediat, utilizați comanda „msecperms” într-o
consolă cu drepturi de root. Înainte puteți utiliza comanda „msecperms -p”
pentru a vedea care din permisiuni vor fi modificate de msecperms.</para></caution>
<caution><para>Nu uitați că dacă modificați permisiunile într-o consolă sau într-un
gestionar de fișiere, pentru un fișier unde căsuța
<guilabel>Forțează</guilabel> este bifată în <emphasis role="bold">Categoria
permisiunilor</emphasis>, msecgui va scrie înapoi vechile permisiuni după o
vreme, în funcție de configurația opțiunilor CHECK_PERMS și
CHECK_PERMS_ENFORCE din <emphasis role="bold">Categoria verificărilor
periodice</emphasis>.</para></caution>
</section>
</section>
</section>
|