1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
|
<?xml version='1.0' encoding='utf-8'?><section xmlns="http://docbook.org/ns/docbook" xmlns:ns5="http://www.w3.org/1998/Math/MathML" xmlns:ns4="http://www.w3.org/2000/svg" xmlns:ns3="http://www.w3.org/1999/xhtml" xmlns:ns2="http://www.w3.org/1999/xlink" xmlns:ns="http://docbook.org/ns/docbook" version="5.0" xml:lang="nl" xml:id="msecgui">
<info>
<title xml:id="msecgui-ti1">MSEC: systeembeveiliging en audit</title>
<subtitle>msecgui</subtitle>
</info>
<mediaobject>
<!-- written by Lebarhon 2014/01/03 To be checked-->
<imageobject>
<imagedata xml:id="msecgui-im1" revision="1" fileref="msecgui.png" align="center" format="PNG"/>
</imageobject>
</mediaobject>
<section>
<title>Omschrijving</title>
<para>msecgui<footnote><para>U kunt deze tool op de commandoregel starten, door als root <emphasis
role="bold">msecgui</emphasis> te typen.</para>
</footnote> is een grafische
gebruikersinterface voor msec die u in staat stelt uw systeembeveiliging te
configureren via twee benaderingen:</para>
<itemizedlist>
<listitem>
<para>Het configureert het gedrag van het systeem, het past het systeem aan om het
veiliger te maken.</para>
</listitem>
<listitem>
<para>Het voert periodieke controles uit van het systeem om u te waarschuwen als
iets gevaarlijk lijkt.</para>
</listitem>
</itemizedlist>
<para>msec werkt met "beveiligingsniveaus", waarmee sets toegangsrechten ingesteld
kunnen worken. Deze kunnen gecontroleerd en afgedwongen worden. Mageia geeft
de keuze tussen diverse beveiligingsniveaus, maar u kunt ook een eigen,
aangepast beveiligingsniveau instellen.</para>
</section>
<section>
<title>Overzichtstabblad</title>
<para>Zie de schermafbeelding hierboven</para>
<para>Het eerste tabblad bevat de lijst met verschillende beveiligingstools, met
een knop aan de rechterzijde om ze te configureren:</para>
<itemizedlist>
<listitem>
<para>Firewall, ook aanwezig in MCC / Beveiliging / Uw persoonlijke firewall
instellen</para>
</listitem>
<listitem>
<para>Updates, ook aanwezig in MCC / Sofwarebeheer / Uw systeem bijwerken</para>
</listitem>
<listitem>
<para>msec zelf met wat informatie:</para>
<itemizedlist>
<listitem>
<para>geactiveerd of niet</para>
</listitem>
<listitem>
<para>het ingestelde basisbeveiligingsniveau</para>
</listitem>
<listitem>
<para>de datum van de laatste periodieke controle en een knop om gedetailleerde
resultaten te zien en een andere knop om de controle nu uit te voeren.</para>
</listitem>
</itemizedlist>
</listitem>
</itemizedlist>
</section>
<section>
<title>Beveiligingsinstellingen-tabblad</title>
<para>Een klik op het tweede tabblad of op de
Beveiliging-<guibutton>Configureren</guibutton>knop geeft het scherm dat u
hieronder ziet.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui2.png"/>
</imageobject>
</mediaobject>
<section>
<title>Basisbeveiliging-tabblad</title>
<para role="underline">
<emphasis role="bold">Beveiligingsniveaus:</emphasis>
</para>
<para>Als het hokje voor <guilabel>MSEC inschakelen</guilabel> aangevinkt is, kunt
u in dit tabblad door dubbelklikken het gewenste beveiligingsniveau kiezen,
dat dan in vette letters verschijnt. Als het hokje niet aangevinkt is, wordt
geen niveau toegepast. De volgende niveaus zijn beschikbaar:</para>
<orderedlist numeration="arabic">
<listitem>
<para>Niveau <emphasis role="bold">geen</emphasis>. Dit niveau is voor wie msec
niet wil gebruiken om de systeembeveiliging te controleren, maar dat liever
zelf regelt. Het schakelt alle beveiligingscontroles uit, en beperkt geen
systeemconfiguratie-instellingen. Gebruik dit niveau a.u.b. alleen als u
weet wat u doet, aangezien het uw systeem anders kwetsbaar maakt.</para>
</listitem>
<listitem>
<para>Niveau <emphasis role="bold">standard</emphasis>. Dit is de standaard
configuratie en is bedoeld voor doorsnee gebruikers. Het beperkt diverse
systeeminstallingen en voert dagelijks beveiligingscontroles uit op
wijzigingen in systeembestanden, systeemaccounts en toegangsrechten van
kwetsbare mappen. (Dit niveau lijkt op de niveaus 2 en 3 van eerdere
msec-versies.)</para>
</listitem>
<listitem>
<para>Niveau <emphasis role="bold">secure</emphasis> is veilig, maar het systeem
blijft bruikbaar. Het beperkt de systeemrechten sterker en voert meer
periodieke controles uit. Bovendien zijn de toegangsrechten tot het systeem
verder ingeperkt. (Dit niveau lijkt op de niveaus 4 (Hoog) en 5 (Paranoïde)
van eerdere msec versies.)</para>
</listitem>
<listitem>
<para>Behalve deze niveaus, kan ook een taak-georienteerd niveau gekozen worden,
zoals <emphasis role="bold">fileserver</emphasis>, <emphasis
role="bold">webserver</emphasis> en <emphasis
role="bold">netbook</emphasis>. Deze stellen de systeembeveiliging in
volgens gebruikelijke behoefte bij zulke systemen.</para>
</listitem>
<listitem>
<para>De twee laatste niveaus, <emphasis role="bold">audit_daily</emphasis> en
<emphasis role="bold">audit_weekly</emphasis>, zijn eigenlijk geen
beveiligingsniveaus, maar enkel tools voor periodieke controles.</para>
</listitem>
</orderedlist>
<para>In <filename>etc/security/msec/niveau.<niveaunaam></filename> zijn de
niveaus opgeslagen. U kunt aangepaste beveiligingsniveaus maken en deze in
de map <filename>etc/security/msec/.</filename> opslaan als
<filename>niveau.<niveaunaam></filename>. Dit is bedoeld voor ervaren
gebruikers die hun systeembeveiliging naar wens willen instellen.</para>
<caution>
<para>Let wel dat eigenhandig gemaakte instellingen voorrang krijgen op de
standaard instellingen.</para>
</caution>
<para>
<emphasis role="bold">Beveiligingswaarschuwingen:</emphasis>
</para>
<para>Als u het hokje <guibutton>Stuur beveiligingswaarschuwingen via e-mail
naar:</guibutton> aanvinkt, worden msec's waarschuwingen per lokale e-mail
naar de beveiligingsbeheerder gestuurd die in het bijbehorende veld genoemd
is (Lokale e-mail en de e-mailclient moeten overeenkomstig ingesteld
worden). U kunt ook nog kiezen om de beveiligingswaarschuwingen direct op uw
bureaublad te ontvangen, door een vinkje te zetten in de bijbehorende
hokje. </para>
<important>
<para>Het wordt sterk aanbevolen een beveiligingswaarschuwingenoptie te gebruiken,
zodat de beveiligingsbeheerder het meteen weet als er een mogelijk probleem
is. Anders zal de beheerder de <filename>/var/log/security</filename>-logs
regelmatig moeten checken.</para></important>
<para><emphasis role="bold">Beveiligingsopties:</emphasis></para>
<para>Een aangepast beveiligingsniveau creëren is niet de enige manier om de
beveiliging aan te passen, het is ook mogelijk om een bestaand niveau aan te
passen m.b.v. de tabbladen hier. De huidige msecconfiguratie is opgeslagen
in <filename>/etc/security/msec/security.conf</filename>. Naast de naam van
het huidige beveiligingsniveau bevat dit bestand een lijst van alle gedane
aanpassingen.</para>
</section>
<section>
<title>Systeembeveiliging-tabblad</title>
<para>Dit tabblad bevat alle beveiligingsopties in de linker kolom, daarnaast de
bijpassende omschrijvingen en rechts de huidige waardes.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui3.png"/>
</imageobject>
</mediaobject>
<para>Dubbelklik op een optie om deze aan te passen. Het venstertje dat verschijnt
(zie onderstaande afbeelding) bevat de optienaam met korte omschrijving, de
huidige en de standaard waarde, alsmede een uitvouwlijst om een nieuwe
waarde te kiezen. Klik op de <guibutton>Ok</guibutton>-knop om de keuze te
bevestigen.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui11.png"/>
</imageobject>
</mediaobject>
<caution>
<para>Vergeet niet bij het verlaten van msecgui uw wijzigingen definitief te maken
via het menu <guimenu>Bestand -> Configuratie opslaan</guimenu>. U krijgt
dan een schermpje waarin u de details van uw wijzigingen kunt zien, alvorens
deze op te slaan.</para>
</caution>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui10.png"/>
</imageobject>
</mediaobject>
</section>
<section>
<title>Netwerkbeveiliging</title>
<para>Dit tabblad bevat alle netwerkopties en werkt zoals het vorige tabblad</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui4.png"/>
</imageobject>
</mediaobject>
</section>
<section>
<title>Periodieke-controles-tabblad</title>
<para>De periodieke controles zijn bedoeld om de beveiligingsbeheerder
d.m.v. beveiligingswaarschuwingen te informeren over alle potentieel
gevaarlijke situaties.</para>
<para>In dit tabblad ziet u of en hoe vaak msec elke periodieke controle uitvoert,
als het hokje <guibutton>Periodieke beveiligingscontroles
inschakelen</guibutton> aangevinkt is. Het werkt zoals de vorige tabbladen.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui5.png"/>
</imageobject>
</mediaobject>
</section>
<section>
<title>Uitzonderingentabblad</title>
<para>Soms kunnen waarschuwingsberichten ontstaan door bekende en wilde
situaties. In deze gevallen zijn ze nutteloos en verspillen ze tijd voor de
beheerder. Op dit tabblad kunt u zo veel mogelijk uitzonderingen maken als u
wilt om ongewenste waarschuwingsberichten te voorkomen. Als u msec voor het
eerst start is het tabblad vanzelfsprekend leeg. De schermafdruk hieronder
toont vier uitzonderingen.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui6.png"/>
</imageobject>
</mediaobject>
<para>Om een uitzondering te maken, klikt u op de knop <guibutton>Voeg een regel
toe</guibutton> </para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui7.png"/>
</imageobject>
</mediaobject>
<para>Selecteer de gewilde periodieke controle in de keuzelijst genaamd
<guilabel>Controleren</guilabel> en voer vervolgens de
<guilabel>Uitzondering</guilabel> in het tekst vak. Het toevoegen een
uitzondering is uiteraard niet definitief, u kunt het verwijderen met de
knop <guibutton>Verwijderen</guibutton> in het
<guilabel>Uitzonderingen</guilabel> tabblad of wijzigen met een dubbelklik.</para>
</section>
<section>
<title>Toegangsrechten</title>
<para>Dit tabblad is bedoeld om permissies van bestanden en directories te
controleren en te handhaven.</para>
<para>Net als voor de beveiliging, beschikt msec ook over verschillende
toestemmingsniveaus (standaard, veilig, ..), deze zijn ingeschakeld aan de
hand van het gekozen beveiligingsniveau. U kunt uw eigen aangepaste
toestemmingsniveaus maken door ze op te slaan in specifieke bestanden met de
naam <filename>perm.<levelname> </filename>, de bestanden bevinden zich
in de map <filename>etc/security/msec/</filename>. Deze functie is bedoeld
voor gevorderde gebruikers die een aangepaste configuratie nodig hebben. Het
is ook mogelijk om het tabblad, dat hier gepresenteerd is, na elke
verandering aan het toestemmingsniveau te gebruiken. De huidige configuratie
wordt opgeslagen in <filename>/etc/security/msec/perms.conf.</filename> Dit
bestand bevat de lijst met alle aanpassingen die gedaan zijn betreffende
toestemmingsniveaus.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui8.png"/>
</imageobject>
</mediaobject>
<para>Standaardmachtigingen zijn zichtbaar in een lijst met regels (een regel per
regel). U kunt aan de linkerkant het bestand of de map zien waar de regel
betrekking op heeft, gevolgd door de eigenaar, de groep en als laatste de
machtigingen verleend door de regel. Wanneer voor een bepaalde regel:</para>
<itemizedlist>
<listitem>
<para>Het vakje <guilabel>Afdwingen</guilabel> is niet aangevinkt, hierdoor zal
msec alleen controleren of de gedefinieerde machtigingen voor deze regel
wordt gerespecteerd, als dit niet het geval is wordt er een
waarschuwingsbericht gestuurd, tegelijkertijd wordt er niets verandert.</para>
</listitem>
<listitem>
<para>Het vakje <guilabel>Afdwingen</guilabel> is aangevinkt, hierdoor zal msec de
machtigingen respecteren bij de eerste periodieke controle en daarna de
machtigingen overschrijven.</para></listitem>
</itemizedlist>
<important><para>Om dit te laten werken, moet de optie CHECK_PERMS in de <emphasis
role="bold">Periodieke controle tabblad</emphasis> zodoende geconfigureerd
worden.</para></important><para>Om een nieuwe regel aan te maken, klikt u op de knop <guibutton>Voeg een
regel toe</guibutton> en vult u de velden in, zoals aangegeven in het
voorbeeld hieronder. De joker * is toegestaan in het veld
<guilabel>Bestanden</guilabel>. "Huidige" betekent dat er geen wijziging
zijn.</para>
<mediaobject>
<imageobject>
<imagedata fileref="msecgui9.png"/>
</imageobject>
</mediaobject>
<para>Klik op de <guibutton>Oke</guibutton> knop om uw keuze te bevestigen, en
vergeet niet bij het verlaten om uw configuratie op te slaan via het menu
<guimenu>Bestand -> Configuratie opslaan</guimenu>. Als u de instellingen
heeft gewijzigd, kunt u via msecgui de wijzigingen bekijken voordat u ze
opslaat. </para>
<note><para>Het is ook mogelijk om nieuwe regels te maken of bestaande regels te
wijzigen door het configuratiebestand
<filename>/etc/security/msec/perms.conf</filename> te bewerken.
</para></note>
<caution><para>Veranderingen in het <emphasis role="bold">tabblad Toestemming</emphasis>
(of direct in het configuratiebestand) worden in aanmerking genomen bij de
eerste periodieke controle (zie de optie CHECK_PERMS in het <emphasis
role="bold">tabblad Periodieke controles</emphasis>). Als u wilt dat ze
onmiddellijk in aanmerking worden genomen, gebruikt u de opdracht msecperms
in een console met beheerders-rechten. U kunt voordat u deze commando
uitvoerd, eerst het msecperms -p commando uitvoeren zodat u weet welke
machtigingen veranderd zullen worden door msecperms.</para></caution>
<caution><para>Vergeet niet dat als u machtigingen in een console of in een
bestandsbeheerder wijzigt, voor een bestand waarin het vak
<guilabel>Afdwingen</guilabel> wordt gecontroleerd in het <emphasis
role="bold">tabblad Rechten</emphasis>, msecgui de oude rechten na een
tijdje terug zal schrijven, dit gebeurd aan de hand van de configuratie van
de opties CHECK_PERMS en CHECK_PERMS_ENFORCE in het <emphasis
role="bold">Periodieke controle tabblad</emphasis>.</para></caution>
</section>
</section>
</section>
|