MSEC: безопасность и аудит системы

msecgui

Вступление

msecgui[43] - графический интерфейс к msec, с помощью которого можно настроить защиту системы следующим образом:

  • Установить системное поведение; msec вносит в систему изменения с целью ее страхования.

  • Выполнять периодические автоматические проверки системы с целью предупредить вас о потенциально опасных изменениях.

В msec использована концепция «уровней безопасности». Уровни предназначены для настройки целого набора прав доступа в системе, за которыми будет наблюдать и принудительно изменять программа. В Mageia вам будет предложено несколько типовых уровней, но вы можете определить собственные нетипичные уровни безопасности.

Вкладка обзора

Смотрите приведённый выше скриншот

На первой вкладке будет показан список различных инструментов защиты с расположенной справа кнопкой для настройки этих инструментов:

  • К файерволу можно получить доступ с помощью Центра управления Mageia - страница «Безопасность», пункт «Настройка персонального файервола».

  • Доступ к обновлениям можно получить в Центре управления Mageia - страница «Управление программами», пункт «Обновление системы».

  • Сам msec с некоторой информацией:

    • включен или нет

    • настроен базовый уровень безопасности

    • даты последних периодических проверок, кнопки просмотра подробного отчёта и кнопки для немедленного выполнения проверки.

Вкладка «Параметры безопасности»

Нажав левой кнопкой мыши на второй вкладке или кнопку Настроить, будет показана страница, подобная приведённой на снимке ниже.

Вкладка «Общая безопасность»

Уровни безопасности:

После выбора пункта Включить инструмент MSEC, с помощью этой вкладки вы можете двойным щелчком кнопки мыши выбрать уровень безопасности. Если этот пункт не будет отмечен, правила обеспечения безопасности не будут применяться. По умолчанию можно воспользоваться такими уровнями безопасности:

  1. Уровень none. Этот уровень предназначен для ситуаций, когда вы не хотите, чтобы msec руководил безопасностью системы, и хотите настроить средства защиты самостоятельно. Если будет выбран этот уровень, все проверки безопасности будут отключены, программа не будет применять никаких ограничений на настройки и параметры системы. Пожалуйста, пользуйтесь этим уровнем только если полностью осознаёте последствия, поскольку его использование оставит вашу систему уязвимой к нападениям злоумышленников.

  2. Уровень стандартный. Этот уровень является дефолтным после установки, он предназначен для обычных пользователей. Права доступа в системе будут несколько ограничены, будут выполняться ежедневные проверки защиты для выявления изменений в системных файлах, учётных записях и уязвимостей в правах доступа к каталогам (этот уровень подобен уровням 2 и 3 в старых версиях msec).

  3. Уровень безопасный. Этот уровень будет полезным, если вам нужна защищённая система с определённой свободой в действиях. Права доступа в системе ограничены, выполняются периодические проверки. Кроме того, будет ограничен доступ к системе (этот уровень подобен уровням 4 (высокий) и 5 (параноидальный) в старых версиях msec).

  4. Кроме этих уровней, предусмотрены различные ориентированные на задачи наборы настроек защиты, в частности уровень файловый сервер , веб-сервер и нетбук. Если вы воспользуетесь этими уровнями, то защита системы будет предварительно настроена на выполнение большинства типовых задач.

  5. Последние два уровня называются ежедневные проверки и еженедельные проверки. На самом деле, это не совсем уровни безопасности, скорее инструменты, предназначенные только для выполнения периодических проверок.

Записи этих уровней хранятся в файлах etc/security/msec/level.<Название уровня>. Вы можете определить собственные нетипичные уровни безопасности и сохранить их в специфических файлах с названиями level.<Название уровня>, которые будут храниться в папке etc/security/msec/. Создание уровней является прерогативой опытных пользователей, которым требуется гибкая система настроек и защищённая система.

Предостережение

Помните, что изменённые пользователем параметры превосходят дефолтные параметры уровня.

Уведомления безопасности:

Если вы выбрали пункт Присылать уведомления безопасности по электронной почте по адресу:, то отчёты по безопасности , созданные msec, будут отправляться по локальной электронной почте администратору безопасности , указанному в соседнем поле. Вы можете либо указать имя учётной записи локального пользователя , либо указать адрес электронной почты полностью (чтобы это сработало, необходимо настроить локальные средства работы с электронной почтой и средства управления ею соответствующим образом). Наконец, вы можете получать уведомления по безопасности непосредственно с помощью рабочего стола . Просто отметьте соответствующий пункт, чтобы включить эти уведомления.

Важно

Настоятельно рекомендуем вам включить оповещения о безопасности для администратора безопасности, чтобы немедленно получать информацию о возможных проблемах с безопасностью. Если вы этого не сделаете, администратору придётся регулярно знакомиться с файлами журнала, хранящимися в каталоге /var/log/security.

Опции безопасности:

Создание нетипичного уровня безопасности не является единственным способом настройки защиты компьютера. Вы также можете воспользоваться вкладками для изменения любого из нужных вам параметров. Текущие настройки msec хранятся в файле /etc/security/msec/security.conf. В этом файле содержатся данные о названии текущего уровня безопасности и список изменений, которые были внесены в его параметры.

Вкладка «Безопасность системы»

На этой вкладке отображаются все параметры защиты в левом столбце, их описания в центральном столбце и текущие значения в правом столбце.

Чтобы изменить параметр, дважды щёлкните на соответствующем пункте. В ответ будет открыто новое окно (см. приведённый ниже снимок). В окне будет показано название параметра, краткое описание, текущее и дефолтное значение, а также выпадающий список, с помощью которого можно выбрать это значение. Нажмите кнопку ОК, чтобы сделать ваш выбор.

Предостережение

Не забудьте перед завершением работы msecgui сохранить ваши настройки с помощью пункта меню Файл -> Сохранить настройки. Если вами были внесены изменения в параметры, то msecgui предоставит вам возможность просмотреть список изменений, прежде чем эти изменения будут сохранены.

Безопасность сети

На этой вкладке отображаются все параметры защиты работы в сети. Она работает подобно работе предыдущей вкладки.

Вкладка «Периодические проверки»

Периодические проверки предназначены для информирования администратора безопасности с помощью уведомлений по всем проблемам, которые msec считает потенциально опасными.

На этой вкладке отображаются все выполненные msec периодические проверки и их частота, если установлен флажок Включить периодические проверки безопасности. Изменения можно вносить аналогично внесению изменений на предыдущих вкладках.

Вкладка «Исключения»

Иногда оповещения создаются по хорошо известным и безопасным «проблемам». В таких случаях оповещения являются лишними и только тратят время администратора. С помощью этой вкладки вы можете создать любое количество исключений для устранения лишних уведомлений. При первом запуске msec список на этой вкладке, конечно же, будет пустым. На следующем снимке показаны исключения.

Чтобы создать запись исключения, нажмите кнопку Добавить правило.

Выберите желаемые периодические проверки с помощью выпадающего списка Проверка, введите Исключение в соответствующее поле. Конечно же, добавление исключения не является окончательным. Вы можете либо удалить его с помощью нажатия кнопки Удалить на вкладке Исключения, или изменить созданную запись исключения двойным щелчком левой кнопкой мыши на соответствующем пункте.

Права доступа

Эту вкладка предназначена для настройки проверок прав доступа к файлам и каталогам и принудительного установления соответствующих прав.

Подобно уровням защиты, в msec предусмотрены различные уровни прав доступа (стандартный, безопасный, ..), которые включаются в соответствии с заданным уровнем безопасности . Вы можете создавать собственные нетипичные уровни прав доступа, сохранять их в соответствующих файлах с названиями perm.<Название уровня>в каталог etc/security/msec/. Конечно же , этим стоит пользоваться имея определенный опыт и причину для создания нетипичного уровня. Кроме того, можно воспользоваться вкладкой окна настроек для внесения изменений в уже созданные права доступа. Текущие настройки сохраняются в файле /etc/security/msec/perms.conf. Этот файл содержит список изменений, которые были внесены для прав доступа.

Типичные права доступа отображаются в виде списка правил (одно правило на строку). В левом столбце показаны файл или папка, которых касаются правила, в следующем столбце показан владелец, дальше группа, а затем столбик прав доступа, предоставляемый этим. Если для предоставленного правила:

  • пункт Принудительно не обозначен, msec выполняет только проверку: выполняются ли ограничения прав доступа, определённые правилом, и посылает текстовые оповещения, если они не выполнятся, но никакие изменения не вносятся.

  • пункт Принудительно обозначен, msec выполняет проверку: выполняются ли ограничения прав доступа, определённые правилом, и исправляет права доступа.

Важно

Для того, чтобы это сработало, следует соответствующим образом настроить параметр CHECK_PERMS на вкладке «Периодические проверки».

Чтобы создать новое правило, нажмите кнопку Добавить правило и заполните поля так, как это показано в следующем примере. В поле Файл можно использовать заменитель *. "Текущий" означает "не вносить изменения".

Нажмите кнопку ОК для подтверждения, и не забудьте перед закрытием окна сохранить ваши настройки с помощью пункта меню Файл -> Сохранить настройки. Если вами были внесены изменения в параметры, то msecgui предоставит вам возможность просмотреть список изменений, прежде чем эти изменения будут сохранены.

Замечание

Кроме того, можно создавать или вносить изменения в правила с помощью редактирования файла настроек /etc/security/msec/perms.conf.

Предостережение

Изменения на вкладке «Права доступа» (или непосредственно с помощью файла настроек) учитываются при выполнении первой же периодической проверки (см. пункт CHECK_PERMS на вкладке «Периодические проверки»). Если вы хотите, чтобы изменения были применены немедленно, то воспользуйтесь командой msecperms в консоли. Команду следует вводить от имени пользователя root. Чтобы ознакомиться со списком прав доступа, которые будут изменены программой msecperms, воспользуйтесь командой msecperms -p.

Предостережение

Не забывайте, что если вы внесёте изменения в условиях доступа к определенному файлу с помощью консольной команды или программы для управления файлами, и пункт Принудительно на вкладке «Права доступа» для этого файла будет обозначен, то msecgui через некоторое время вернёт предыдущие права доступа, в соответствии с настройками параметров CHECK_PERMS и CHECK_PERMS_ENFORCE на вкладке «Периодические проверки» .



[43] Запустить эту программу можно с помощью терминала: достаточно ввести команду msecgui от имени администратора (root).


CC BY-SA 3.0