blob: 43524af83147cc0563a20bbb6de28d5a06e1b8f6 (
plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
|
<?xml version='1.0' encoding='utf-8'?><section xmlns="http://docbook.org/ns/docbook" xmlns:ns5="http://www.w3.org/1998/Math/MathML" xmlns:ns4="http://www.w3.org/2000/svg" xmlns:ns3="http://www.w3.org/1999/xhtml" xmlns:ns2="http://www.w3.org/1999/xlink" xmlns:ns="http://docbook.org/ns/docbook" version="5.0" xml:lang="zh_CN" xml:id="msecgui">
<info>
<title xml:id="msecgui-ti1">MSEC: 系统安全审计</title>
<subtitle>msecgui</subtitle>
</info>
<mediaobject>
<!-- written by Lebarhon 2014/01/03 To be checked-->
<imageobject>
<imagedata xml:id="msecgui-im1" revision="1" fileref="msecgui.png" align="center" format="PNG"/>
</imageobject>
</mediaobject>
<section>
<title>介绍</title>
<para>msecgui<footnote><para>您可通过以 root 用户在命令行输入 <emphasis role="bold">drakedm</emphasis> 来启动该工具。</para>
</footnote>是用于配置系统安全的 msec 图形化界面,可用的操作有:</para>
<itemizedlist>
<listitem>
<para>设置系统行为,使用 msec 来调整系统以便系统更安全。</para>
</listitem>
<listitem>
<para>周期性检查系统,以便在发生危险时及时通知您。</para>
</listitem>
</itemizedlist>
<para>msec 使用“安全等级”的概念来管理系统权限,您可以对权限的变更或加固进行审计。Mageia 提供了推荐的配置,但您也可以自己定制安全等级。</para>
</section>
<section>
<title>预览选项卡</title>
<para>参见上述截图</para>
<para>第一个选项卡中包活了各类安全工具,右侧的按钮可以配置这些工具:</para>
<itemizedlist>
<listitem>
<para>防火墙,它也可以通过 MCC / 安全 /设置您的个人防火墙 来启动</para>
</listitem>
<listitem>
<para>更新,它也可以通过 MCC / 软件管理 /更新您的系统 来启动</para>
</listitem>
<listitem>
<para>msec 私有的配置:</para>
<itemizedlist>
<listitem>
<para>是否启用</para>
</listitem>
<listitem>
<para>预设的基础安全等级</para>
</listitem>
<listitem>
<para>最近一次周期检查的时间、用于查看详细报告的按钮和用于立即执行检查的按钮。</para>
</listitem>
</itemizedlist>
</listitem>
</itemizedlist>
</section>
<section>
<title>安全设置选项卡</title>
<para>点击第二个选项卡,或者点击安全<guibutton>配置</guibutton> 按钮也会打开上述窗口。</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui2.png"/>
</imageobject>
</mediaobject>
<section>
<title>基本安全选项卡</title>
<para role="underline">
<emphasis role="underline">安全等级</emphasis>:
</para>
<para>在勾选了<guilabel>启用 MSEC
工具</guilabel>后,您可以在此选项卡中双击选择所需的安全等级(以粗体字表示)。如果您没有勾选任何等级,将会使用等级“无”。您可以使用的等级有:</para>
<orderedlist numeration="arabic">
<listitem>
<para><emphasis role="bold">无</emphasis>等级。如果您不希望使用 msec
来控制系统安全,而希望自己进行配置,请选择此等级。系统将禁用所有安全检查,并且不会对系统配置做任何限制。仅当您清楚自己的目的时才使用此等级,因为这样做可能导致系统容易遭受攻击。</para>
</listitem>
<listitem>
<para><emphasis
role="bold">标准</emphasis>等级。这是安装时默认使用的配置,可以用于普通用户。系统将限制部分系统设置,并且每天检查系统文件、系统账户和危险目录的权限的变更情况。(此等级与之前版本的
msec 使用的等级 2 和 3 类似)</para>
</listitem>
<listitem>
<para><emphasis
role="bold">安全</emphasis>等级。当您想确保系统安全,同时保证系统可用性时,请使用此等级。系统将进一步收紧系统权限,并提高周期性检查的频率。此外,也会限制系统的访问。(此等级与之前版本的
msec 使用的等级 4(高) 和 5(严格) 类似)</para>
</listitem>
<listitem>
<para>除了这些等级之外,msec 也提供了用于不同任务的安全设置,如 <emphasis role="bold">fileserver(文件服务器)
</emphasis>、<emphasis role="bold">webserver(网络服务器)</emphasis> 和 <emphasis
role="bold">netbook(上网本)</emphasis> 等级。这些等级适用于在大多数情况下对系统安全进行配置。</para>
</listitem>
<listitem>
<para>最后两个等级叫做<emphasis role="bold">每日审计 </emphasis> 和 <emphasis
role="bold">每周审计</emphasis>,它们并非真正的安全等级,而是用于进行周期性检查的工具。</para>
</listitem>
</orderedlist>
<para>这些等级保存于
<filename>etc/security/msec/level.<levelname></filename>。您可以自定义安全等级,并将其保存至特定的文件中,文件名的格式为
<filename>level.<等级名称></filename>,并将其放到
<filename>etc/security/msec/</filename>。此功能适用于对系统配置有特殊需求的超级用户。</para>
<caution>
<para>请记住,用户自定义的参数将会覆盖预设的默认等级。</para>
</caution>
<para>
<emphasis role="underline">安全警报</emphasis>:
</para>
<para>如果您勾选了<guibutton>用邮件发送安全警报至</guibutton>,msec
生成的安全警报将通过本地邮件服务发送至预先设定的安全管理员。您可以在收件人地址一栏填写一个本地用户名,或完整的电子邮件地址(同时应当设置本地邮件和邮件管理器)。最后,您将可以直接在桌面读取
msec 发送的安全警报。请勾选相应的复选框来启用这一功能。</para>
<important>
<para>我们强烈建议您启用安全警报功能,以便在系统出现可能的安全问题时能及时反馈给安全管理员。否则,管理员需要定期手动检查
<filename>/var/log/security</filename> 下的日志文件。</para></important>
<para><emphasis role="underline">安全选项</emphasis>:</para>
<para>自定义计算机安全的方法不仅限于创建自定义安全等级,您也可以使用此处介绍的选项卡来修改任意选项。当前的 msec 配置存储在
<filename>/etc/security/msec/security.conf</filename>,此文件包含了当前的安全等级名,以及一系列针对默认参数进行的修改。</para>
</section>
<section>
<title>系统安全选项卡</title>
<para>此选项卡的左侧显示了所有安全选项,中间显示了相关的描述,右侧显示了选项当前的值。</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui3.png"/>
</imageobject>
</mediaobject>
<para>若要修改某个选项,请双击它,然后在弹出的窗口(见下面的截图)中进行修改。窗口中将显示选项的名词、简短描述、当前值和默认值,以及包含可选值的下拉列表。请点击<guibutton>确定</guibutton>按钮来确认修改。</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui11.png"/>
</imageobject>
</mediaobject>
<caution>
<para>在退出 msecgui 时,请不要忘记点击菜单 <guimenu>文件 -> 保存配置</guimenu>
来应用您的配置。如果您做了更改,msecgui 在保存前会提示您预览这些更改。</para>
</caution>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui10.png"/>
</imageobject>
</mediaobject>
</section>
<section>
<title>网络安全</title>
<para>此选项卡中显示了所有的网络选项,操作方式与上一个选项卡类似</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui4.png"/>
</imageobject>
</mediaobject>
</section>
<section>
<title>周期检查选项卡</title>
<para>周期检查用于通过安全警告将 msec 认为可能危险的情形发送给系统管理员。</para>
<para>此选项卡中显示了所有 msec
完成的周期检查,如果勾选了<guibutton>启用周期性安全检查</guibutton>,还将显示检查的频率。请参考上一个选项卡的介绍进行操作。</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui5.png"/>
</imageobject>
</mediaobject>
</section>
<section>
<title>例外选项卡</title>
<para>部分警报信息可能并非源于系统风险,您可能有意让它们发生。在这种情况下,安全警报就显得不必要了。您可以在此选项卡中创建任意数量的例外,以避免不需要的安全警报。当
msec 首次启动时,列表中是空的。下面的截图中包含了四个例外。</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui6.png"/>
</imageobject>
</mediaobject>
<para>若要创建例外,请点击 <guibutton>添加规则</guibutton> 按钮</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui7.png"/>
</imageobject>
</mediaobject>
<para>请在<guilabel>检查</guilabel>下拉列表中选择需要的周期检查,然后在文本区域输入
<guilabel>例外</guilabel>。您也可以在 <guilabel>例外</guilabel> 选项卡中使用
<guibutton>删除</guibutton>按钮将现有的例外删除,或者双击某个例外来更改它。</para>
</section>
<section>
<title>权限</title>
<para>此选项卡用于进行文件/目录权限检查和加固。</para>
<para>与安全选项卡类似,msec
提供了不同的权限等级(标准、安全……),分别根据您的选择予以启用。您也可以创建自己的权限等级,并将其保存在特定的文件中,文件名为<filename>perm.<等级名>
</filename>,且放置于 <filename>etc/security/msec/</filename>
文件夹中。此功能适用于需要自定义配置的超级用户。您也可以使用此选项卡来改变所需的权限。当前的配置存储在
<filename>/etc/security/msec/perms.conf</filename>。此文件包含一系列针对默认参数进行的修改。</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui8.png"/>
</imageobject>
</mediaobject>
<para>默认权限以规则列表的形式显示,每行显示一条规则。您可以在左侧看到与某个规则相关的文件或文件夹、文件所有者、文件所有组以及此规则授予的权限。例如,对于给定的规则:</para>
<itemizedlist>
<listitem>
<para><guilabel>加固</guilabel> 未被勾选,则 msec 将只检查此规则定义的权限是否有效,如果无效则发送安全警报,但不做任何更改。</para>
</listitem>
<listitem>
<para><guilabel>加固</guilabel>被勾选,则 msec 将根据第一次周期检查时得到的权限信息改写当前权限。</para></listitem>
</itemizedlist>
<important><para>若要使用此功能,您必须正确配置<emphasis role="bold">周期性检查</emphasis>选项卡中的 CHECK_PERMS 选项。</para></important><para>若要创建新规则,请点击<guibutton>添加规则</guibutton>按钮,并参考以下示例填写相应字段。<guilabel>文件</guilabel>字段中可以使用通配符
*。“current”表示尚未被更改。</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui9.png"/>
</imageobject>
</mediaobject>
<para>点击<guibutton>确定</guibutton>按钮来确认更改。不要忘记点击菜单 <guimenu>文件 ->
保存配置</guimenu>来应用您的配置。如果您做了更改,msecgui 在保存前会提示您预览这些更改。 </para>
<note><para>您也可以手动创建或修改配置文件 <filename>/etc/security/msec/perms.conf</filename>。
</para></note>
<caution><para><emphasis role="bold">权限选项卡</emphasis>(或配置文件)中的更改将在首次周期性检查时生效(参见<emphasis
role="bold">周期检查选项卡</emphasis>中的 CHECK_PERMS 选项)。如果您希望它们立即生效,请以 root
权限在命令行执行 msecperms。在此之前,您可以使用“msecperms -p”命令来了解 msecperms 将要更改的权限。</para></caution>
<caution><para>请记住,如果您通过终端或文件管理器修改了被 <guilabel>Enforce </guilabel> 文件的权限,msecgui
随后将会根据<emphasis role="bold">权限选项卡</emphasis>中的 CHECK_PERMS 和
CHECK_PERMS_ENFORCE 选项将其恢复到之前的值。</para></caution>
</section>
</section>
</section>
|