1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
|
<?xml version='1.0' encoding='utf-8'?><section xmlns="http://docbook.org/ns/docbook" xmlns:ns5="http://www.w3.org/1998/Math/MathML" xmlns:ns4="http://www.w3.org/2000/svg" xmlns:ns3="http://www.w3.org/1999/xhtml" xmlns:ns2="http://www.w3.org/1999/xlink" xmlns:ns="http://docbook.org/ns/docbook" version="5.0" xml:lang="sv" xml:id="msecgui">
<info>
<title xml:id="msecgui-ti1">MSEC: Systemsäkerhet och kontroll</title>
<subtitle>msecgui</subtitle>
</info>
<mediaobject>
<!-- written by Lebarhon 2014/01/03 To be checked-->
<imageobject>
<imagedata xml:id="msecgui-im1" revision="1" fileref="msecgui.png" align="center" format="PNG"/>
</imageobject>
</mediaobject>
<section>
<title>Presentation</title>
<para>msecgui<footnote><para>Du kan starta det här verktyget från en konsol genom att skriva <emphasis
role="bold">msecgui</emphasis> som root.</para>
</footnote> är ett grafiskt gränssnitt för
msec där du kan konfigurera sitt systems säkerhet enligt två
tillvägagångssätt.</para>
<itemizedlist>
<listitem>
<para>Den ställer in systemets beteende, msec tvingar ändringar för systemet för
att göra det mer säkert.</para>
</listitem>
<listitem>
<para>Det utför periodiska kontroller automatisk i systemet för att varna dig om
något verkar vara farligt.</para>
</listitem>
</itemizedlist>
<para>msec använder begreppet säkerhetsnivåer som är till för att konfigurera en
rad tillstånd i systemet som kan övervakas för ändringar eller
genomdrivande. Många av dem föreslås av Mageia men du kan ange dina egna
anpassade säkerhetsnivåer.</para>
</section>
<section>
<title>Fliken översikt</title>
<para>Se skärmdumpen ovan</para>
<para>Första fliken visa olika säkerhetsverktyg och en knapp till höger för att
konfigurera dem:</para>
<itemizedlist>
<listitem>
<para>Brandvägg. Finns även i MCC / Säkerhet / Konfigurera din personliga
brandvägg.</para>
</listitem>
<listitem>
<para>Uppdateringar. Finns även i MCC / Programhantering / Uppdatera ditt system</para>
</listitem>
<listitem>
<para>msec själv med lite information:</para>
<itemizedlist>
<listitem>
<para>aktiverad eller inte</para>
</listitem>
<listitem>
<para>den konfigurerade säkerheten för basnivå</para>
</listitem>
<listitem>
<para>datum för senaste periodiska kontrollen och en knapp för att visa en
detaljerad rapport och ytterligare en knapp för att utföra kontrollen nu.</para>
</listitem>
</itemizedlist>
</listitem>
</itemizedlist>
</section>
<section>
<title>Fliken Säkerhetsalternativ</title>
<para>Att klicka på den andra fliken eller på knappen
<guibutton>Konfigurera</guibutton> under Säkerhet leder till samma skärm som
visas nedan.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui2.png"/>
</imageobject>
</mediaobject>
<section>
<title>Fliken Bassäkerhet</title>
<para role="underline">
<emphasis role="underline">Säkerhetsnivåer:</emphasis>
</para>
<para>När du har kryssat i rutan <guilabel>Aktivera MSEC-verktyg</guilabel> så kan
du på den här fliken dubbelklicka för att välja en säkerhetsnivå som sedan
visas i fetstil. Om kryssrytan inte är markerad så tillämpas nivån « Ingen »
Följande nivåer är tillgängliga:</para>
<orderedlist numeration="arabic">
<listitem>
<para>Nivå <emphasis role="bold">ingen</emphasis>. Den här nivån är om du inte
vill använda msec för att kontrollera systemets säkerhet utan istället vill
justera den själv. Den inaktiverar alla säkerhetskontroller och lägger inga
restriktioner eller begränsningar för systemkonfiguration och
inställningar. Använd enbart den här nivån om du vet vad du gör eftersom det
gör ditt system sårbart mot attacker.</para>
</listitem>
<listitem>
<para>Nivå <emphasis role="bold">standard</emphasis>. Den här är standard efter
installation och är avsedd för vanliga användare. Den begränsar flera
systeminställningar och kör dagliga säkerhetskontroller som upptäcker
ändringar i systemfiler, konton och sårbara katalogrättigheter. (Den här
nivån liknar Nivå 2 och Nivå 3 från tidigare versioner av msec).</para>
</listitem>
<listitem>
<para>Nivå <emphasis role="bold">säker</emphasis>. Den här nivån är till för om du
vill garantera att ditt system är säkert men ändå användbart. Det begränsar
systemrättigheter ännu mer och kör fler periodiska kontroller. Dessutom är
åtkomst till systemet mer begränsad (Den här nivån liknar nivå 4 (Hög) och
Nivå 5 (Paranoid) från tidigare msec-versioner).</para>
</listitem>
<listitem>
<para>Förutom dessa nivåer är olika uppgiftsorienterade säkerhetsnivåer också
tillgängliga, t. ex <emphasis role="bold">filserver </emphasis>, <emphasis
role="bold">webbserver</emphasis> and <emphasis
role="bold">netbook</emphasis>-nivåer. De försöker förkonfigurera systemets
säkerhet i enlighet med de vanligaste användningsområdena.</para>
</listitem>
<listitem>
<para>De två sista nivåerna är <emphasis role="bold">audit_daily </emphasis> och
<emphasis role="bold">audit_weekly</emphasis> är egentligen inga
säkerhetsnivåer utan enbart verktyg som utför periodiska kontroller.</para>
</listitem>
</orderedlist>
<para>Nivåerna sparas i
<filename>etc/security/msec/level.<nivånamn></filename>. Du kan definiera
dina egna anpassade säkerhetsnivåer och spara dem i särskilda filer som
heter <filename>nivå.<nivånamn></filename> och placera dem i katalogen
<filename>etc/security/msec/.</filename> Den här funktionen är till för
avancerade användare som kräver en anpassad och mer säker
systemkonfiguration.</para>
<caution>
<para>Tänk på att användardefinierade parametrar har företräde över standard
nivåinställningar.</para>
</caution>
<para>
<emphasis role="underline">Säkerhetsvarningar:</emphasis>
</para>
<para>Om du markerar kryssrutan <guibutton>Skicka säkerhetsvarningar med e-post
till:</guibutton> så skickas säkerhetsvarningarna som msec genererar lokalt
till en e-postadress för säkerhetsansvarig som anges i fältet sidan om. Du
kan ange en lokal användare eller en fullständig e-postadress (den lokala
e-posthanteraren måste vara inställd). Till sist kan du få
säkerhetsvarningar direkt till skrivbordet. Markera kryssrutan för att
aktivera det.</para>
<important>
<para>Det rekommenderas starkt att du aktiverar alternativet systemvarningar för
att omedelbart informera systemansvarig om potentiella
säkerhetsproblem. Annars måste administratören regelbundet kontrollera
loggarna som finns i <filename>/var/log/security.</filename></para></important>
<para><emphasis role="underline">Säkerhetsalternativ:</emphasis></para>
<para>Att skapa en anpassad nivå är inte det enda sättet att anpassa datorns
säkerhet. Du kan också använda flikarna som visas här efteråt för att ändra
vilken inställning du vill. Nuvarande konfiguration för msec är sparad i
<filename>/etc/security/msec/security.conf</filename>. Filen innehåller
namnet på den aktuella säkerhetsnivån och en lista gjorda med alla ändringar
för inställningarna.</para>
</section>
<section>
<title>Fliken Systemsäkerhet</title>
<para>Den här fliken visar alla säkerhetsalternativ i den vänstra kolumnen, en
beskrivning i mitten och deras nuvarande värden till höger.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui3.png"/>
</imageobject>
</mediaobject>
<para>För att ändra ett alternativ så dubbelklickar du på det, därefter visas ett
nytt fönster (se skärmdumpen nedan). Det visar namn, en kort beskrivning,
det faktiska värdet och en rullgardinsmeny där ett nytt värde kan
väljas. Klicka på <guibutton>Ok</guibutton> för att spara.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui11.png"/>
</imageobject>
</mediaobject>
<caution>
<para>Glöm inte att spara dina inställningar innan du avslutar helt genom menyn
<guimenu>Arkiv -> Spara inställningar</guimenu>. Om du har ändrat något så
kan du förhandsgranska dem innan du sparar.</para>
</caution>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui10.png"/>
</imageobject>
</mediaobject>
</section>
<section>
<title>Nätverks-säkerhet</title>
<para>Den här fliken visar alla nätverksalternativ och fungerar på samma sätt som
föregående flik.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui4.png"/>
</imageobject>
</mediaobject>
</section>
<section>
<title>Fliken Periodiska kontroller</title>
<para>Periodiska kontroller är till för att informera säkerhetsansvarig genom
säkerhetsvarningar för alla situationer som msec tror kan vara farliga.</para>
<para>Om kryssrutan <guibutton>Aktivera periodiska säkerhetskontroller</guibutton>
är markerad så visar den här fliken alla periodiska kontroller som msec
utför och hur ofta. Ändringar görs som i föregående flikar.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui5.png"/>
</imageobject>
</mediaobject>
</section>
<section>
<title>Fliken Undantag</title>
<para>Ibland är varningsmeddelanden genererade av välkända och önskade
situationer. I de fallen är de värdelösa och slöseri med tid för
administratören. På den här fliken kan du skapa hur många undantag du vill
för att förhindra oönskade varningsmeddelanden. Den är uppenbarligen tom
första gången msec startar. Skärmdumpen nedan visar fyra undantag.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui6.png"/>
</imageobject>
</mediaobject>
<para>Klicka på <guibutton>Lägg till en regel</guibutton> för att skapa ett
undantag.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui7.png"/>
</imageobject>
</mediaobject>
<para>Välj ett önskat värde för periodisk kontroll i
<guilabel>Kontroll</guilabel>-listan och skriv in
<guilabel>undantaget</guilabel> i textfältet. Att lägga till ett undantag är
naturligtvis inte definitivt. De kan radera det med knappen
<guibutton>Radera</guibutton> i fliken <guilabel>Undantag</guilabel> eller
dubbelklicka för att ändra.</para>
</section>
<section>
<title>Behörigheter</title>
<para>Den här fliken är avsedd för kontroll och påtvingande av rättigheter för
filer och kataloger.</para>
<para>Som med säkerhet så har msec olika rättighetsnivåer (standard, säker, ...)
de är aktiverade enligt vald säkerhetsnivå. Du kan skapa dina egna anpassade
säkerhetsnivåer och kan spara dem i specifika filer med namnet
<filename>perm.<nivånamn> </filename> i katalogen
<filename>etc/security/msec/</filename>. Den här funktionen är till för
avancerade användare som kräver en anpassad konfiguration. Du kan också
använda fliken som visas här vid ett senare tillfälle för att ändra vilka
rättigheter du vill. Nuvarande konfiguration lagras i
<filename>/etc/security/msec/perms.conf.</filename>. Denna fil innehåller
alla ändringar som är gjorda för rättigheterna.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui8.png"/>
</imageobject>
</mediaobject>
<para>Standard rättigheter visas som en lista med regler (en regel per rad). Du
ser till vänster vilken fil eller katalog som berörs av regeln. Därefter
ägare, grupp och slutligen vilka rättigheter som ges av regeln. Om, för en
angiven regel:</para>
<itemizedlist>
<listitem>
<para>kryssrutan <guilabel>Tvinga</guilabel> inte är markerad kommer msec bara att
kontrollera om de definierade rättigheterna för den här regeln respekteras
och skickar ett varningsmeddelande om de inte är det, men ingenting ändras.</para>
</listitem>
<listitem>
<para>kryssrutan <guilabel>Tvinga</guilabel> är markerad kommer msec inte att
respektera rättigheterna vid första periodiska kontrollen utan skriva över
dem.</para></listitem>
</itemizedlist>
<important><para>För att det här ska fungera måste alternativet CHECK_PERMS i <emphasis
role="bold">Fliken periodiska kontroller</emphasis> vara markerat och
konfigurerat</para></important><para>Klicka på<guibutton> Lägg till en regel</guibutton> för att skapa en ny
regel och fyll i fälten som visas i exemplet nedan. En asterisk * är
tillåtet i fältet <guilabel>Fil</guilabel>. “nuvaranade” menas ingen
ändring.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui9.png"/>
</imageobject>
</mediaobject>
<para>Klicka på knappen <guibutton>Ok</guibutton> för att bekräfta valet och glöm
inte att spara din konfiguration innan du avslutar helt genom menyn
<guimenu>Arkiv -> Spara inställningar</guimenu>. Om du har ändrat något så
ger msecgui dig möjlighet att förhandsgranska dem innan du sparar. </para>
<note><para>Du kan också ändra reglerna genom att redigera filen
<filename>/etc/security/msec/perms.conf</filename>.
</para></note>
<caution><para>Ändringar gjorda på <emphasis role="bold">Fliken rättigheter</emphasis>
(eller manuellt i konfigurationsfilen) beaktas vid den första periodiska
kontrollen (se alternativet CHECK_PERMS på <emphasis role="bold">Fliken
Periodiska kontroller</emphasis>). Om du vill att de ska verkställas
omedelbart så använder du kommandot msecperms i en konsoll med
root-rättigheter. Där kan du i förväg kontrollera vilka rättigheter som
kommer att ändras genom att skriva msecperms -p</para></caution>
<caution><para>Kom ihåg att om du ändrar rättigheterna i en konsol eller filhanterare för
en fil där <guilabel>Tvinga</guilabel> är markerad i <emphasis
role="bold">Fliken rättigheter </emphasis> så kommer msecgui att ändra
tillbaka de gamla rättigheterna efter ett tag i enlighet med konfigurationen
av alternativen CHECK_PERMS och CHECK_PERMS_ENFORCE från <emphasis
role="bold">Fliken Periodiska kontroller</emphasis>.</para></caution>
</section>
</section>
</section>
|