Turvalisus

Sellel paneelil saab valida mitme turbetööriista vahel. Klõpsake allpool linkidele, et neid paremini tundma õppida.

MSEC: süsteemi turvalisus ja audit

msecgui

Tutvustus

Tööriist msecgui[43] on programmi msec graafiline kasutajaliides, mis võimaldab seadistada süsteemi turvet kahel moel:

  • Sellega saab paika panna süsteemi käitumise, mille korral msec kehtestab süsteemis muudatused, mis suurendavad selle turvalisust.

  • See lubab määrata kindlaks perioodilised kontrollid, mida võetakse süsteemis ette automaatselt, et hoiatada teid, kui miski paistab ohtlikuna.

Programm msec kasutab niinimetatud turbetasemete kontseptsiooni. Need tasemed hõlmavad teatavat süsteemsete õiguste kogumit, mille põhjal analüüsitakse süsteemis toimuvaid muutusi. Mõningad tasemed annab Mageia ette, aga neid saab oma soovi kohaselt muuta ja kohandada.

Ülevaate kaart

Pilt on näha ülal.

Esimesel kaardil on ära toodud eri turbetööriistade loetelu, millest paremal asuvad nupud nende seadistamiseks:

  • Tulemüür, mille leiab ka juhtimiskeskuses Turvalisus -> Isikliku tulemüüri seadistamine

  • Uuendused, mille leiab ka juhtimiskeskuses Tarkvara -> Süsteemi uuendamine

  • Msec ise koos mõninga teabega:

    • lubatud või mitte

    • seadistatud baasturbetase

    • viimaste perioodiliste kontrollide aeg ning nupud, mis vastavalt näitavad üksikasjalikumat teavet ja võimaldavad kontrolli kohe käivitada

Turbeseadistuste kaart

Klõps teisele sakile või nupule Turve -> Seadista avab allnähtava akna.

Põhiseadistuste kaart

Turbetasemed:

Kui olete märkinud kastikese MSEC-i tööriista lubamine, saab siin kaardil topeltklõpsuga valida sobiva turbetaseme, mida pärast valimist näidatakse rasvases kirjas. Kui kastike on märkimata, kasutatakse taset « puudub ». Saadaval on järgmised tasemed:

  1. Tase puudub. See on hea siis, kui te ei soovi, et msec majandaks süsteemi turbega, ja eelistate sellega omal käel hakkama saada. Sel tasemel keelatakse kõik turbekontrollid ning ei piirata mingil moel süsteemseid seadistusi. Palun valige see tase ainult siis, kui olete täiesti kindel, et teate, mida teete, sest sel juhul on teie süsteem rünnakutele avatud.

  2. Tase standard on vaikimisi rakendatav seadistus, mida kasutatakse paigaldamisel, kui paigaldaja ei vali midagi muud. See tavalisele kasutajale sobiv tase sisaldab mõningaid süsteemsete seadistuste piiranguid ning käivitab igapäevased turbekontrollid, mis otsivad muudatusi süsteemsetes failides ja kontodes ning kataloogide õigustes, mis võivad anda võimaluse halba korda saata. (See tase on sarnane mseci varasemate versioonide tasemetega 2 ja 3.)

  3. Tase secure on mõeldud selleks, kui soovite, et süsteem oleks tõeliselt turvaline, aga siiski veel kasutatav. Süsteemi seadistusi piiratakse veelgi ning perioodilisi kontrollegi on rohkem. Lisaks piiratakse ligipääsu süsteemile. (See tase on sarnane mseci varasemate versioonide tasemetega 4 (kõrge) ja 5 (paranoiline).)

  4. Lisaks mainitud tasemetele pakutakse veel mitmeid eesmärgipõhiseid turbetasemeid, näiteks fileserver, webserver ja netbook. Nende puhul üritatakse süsteemi turve seadistada vastavalt levinumatele kasutusjuhtumitele.

  5. Viimased kaks taset nimetustega audit_daily ja audit_weekly ei ole õigupoolest päris turbetasemed, vaid pigem ainult tööriistad perioodiliste kontrollide tarbeks.

Tasemed salvestatakse faili etc/security/msec/level.<tasemenimi>. Soovi korral võib paika panna omaenda kohandatud turbetaseme, salvestades selle failina level.<tasemenimi> kataloogis etc/security/msec/. See võimalus on mõistagi mõeldud väga kogenud kasutajatele, kellel on oma vajadused süsteemi turvet enda käe järgi kohendada.

Ettevaatust

Pidage kindlasti silmas, et kasutaja muudetud parameetreid arvestatakse enne vaiketaseme määratlusi.

Turbehoiatused:

Kui märkida ära kastike Turbehoiatuste saatmine e-postiga:, saadetakse mseci loodud turbehoiatused kohalikule e-posti aadressile turbeadministraatorile, kelle nimi tuleb kirja panna kõrval asuval väljal. Sinna võib kirjutada kas kohaliku kasutajanime või täieliku e-posti aadressi (selle huvides peavad olema vajalikult seadistatud kohalik e-post ja e-posti haldur). Samuti võib lasta turbehoiatusi näidata otse töölaual, milleks tuleb ära märkida vastav kastike.

Oluline

Turbehoiatuste edastamine on äärmiselt soovitatav sisse lülitada, et turbeadministraator saab õigeaegselt teada võimalikest probleemidest. Vastasel juhul peab administraator järjepidevalt uurima logifaile, mis salvestatakse kataloogi /var/log/security.

Turbevalikud:

Kohandatud taseme loomine ei ole ainuke viis sättida arvuti turvet oma käe järgi: samamoodi võib kasutada tööriista eri kaarte, et muuta just neid valikuid, mida vaja. Mseci kehtiv seadistus on salvestatud faili /etc/security/msec/security.conf. See sisaldab nii kehtivat turbetaseme nime kui ka loetelu kõigist muudetud valikutest.

Süsteemi turvalisuse kaart

Sellel kaardil võib näha vasakus veerus turbevalikut, keskmises veerus selle kirjeldust ja paremas veerus kehtivat väärtust.

Mõne valiku muutmiseks tehke sellel topeltklõps, mille järel ilmub uus aken (vt pilti allpool). Selles on näha valiku nimi, lühike kirjeldus, kehtiv ja vaikeväärtus ning ripploend, milles saab valida uue väärtuse. Klõpsuga nupule Olgu saab muudatuse kinnitada.

Ettevaatust

Ärge unustage tööriista sulgedes oma seadistust lõplikult salvestamast menüükäsuga Fail -> Salvesta seadistus. Kui olete seadistusi muutnud, annab msecgui võimaluse need enne salvestamist üle vaadata.

Võrguturvalisuse kaart

Sellelt kaardilt leiab võrguga seotud valikud ja kõik käib siin samamoodi nagu eelmisel kaardil.

Perioodiliste kontrollide kaart

Perioodiliste kontrollide eesmärk on anda turbehoiatuste abil turbeadministraatorile teada kõigest, mida msec peab võimalikuks ohuks.

Kui märkida kastike Perioodiliste turbekontrollide lubamine, näeb sellel kaardil kõiki mseci sooritatavaid perioodilisi kontrolle ja nende sagedust. Muudatusi saab siin teha samamoodi nagu eespool kirjeldatud kaartidel.

Erandite kaart

Mõnikord käivad hoiatused hästi teada ja soovitud olukorra kohta. Sel juhul ei ole neil tegelikult mõtet ja nad vaid raiskavad administraatori aega. Sellel kaardil saab luua nii palju erandeid kui vaja, et vältida tarbetuid turbehoiatusi. Enesest mõista on see kaart mseci esmakäivitusel tühi. Allpool oleval pildil on näha neli erandit.

Erandi loomiseks tuleb klõpsata nupule Lisa reegel.

Valige vajalik perioodiline kontroll ripploendist Kontroll ja kirjutage erand tekstikasti Erand. Erandi lisamine ei ole mõistagi midagi jäävat: selle võib kustutada erandite kaardil klõpsuga nupule Kustuta, samuti võib seda topeltklõpsuga muuta.

Õiguste kaart

Sellel kaardil saab kontrollida ja jõustada failide ja kataloogide õigusi.

Nagu turvalisuse puhul, kasutab msec ka õiguste puhul mitmesuguseid tasemeid (standard, secure jne), mida kehtestatakse vastavalt valitud turbetasemele. Soovi korral saab luua omaenda õigustetasemeid, salvestades need faili perm.<tasemenimi> kataloogis etc/security/msec/. See võimalus on mõeldud väga kogenud kasutajatele, kel läheb tarvis kohandatud seadistust. Samuti saab siinsamas kaardil muuta õigusi just selliseks nagu vaja. Kehtiv seadustus on salvestatud faili /etc/security/msec/perms.conf. Selles leiab loetelu kõigist õiguste muudatustest.

Vaikimisi õigusi kuvatakse reeglite loendina (üks reegel rea kohta). Alates vasakult antakse teada reegliga hõlmatud fail või kataloog, seejärel selle omanik, grupp ja lõpuks õigused. Kui reegli puhul

  • kastike Jõuga kehtestamine ei ole märgitud, kontrollib msec ainult seda, kas reeglis määratud õigused kehtivad, ning saadab turbehoiatuse, kui see nii pole, aga ei muuda ise midagi.

  • kui kastike Jõuga kehtestamine on märgitud, kontrollib msec esimese perioodilise kontrolli ajal õiguste vastavust reeglile ning kirjutab need erinevuse korral üle.

Oluline

Et see toimiks, peab perioodiliste kontrollide kaardil olema valik CHECK_PERMS sobivalt seadistatud.

Uue reegli loomiseks klõpsake nupule Lisa reegel ja täitke väljad, nagu näha alloleval pildil. Väljal Fail võib kasutada metamärki *. “current” tähendab, et midagi ei muudeta.

Muudatuste jõustamiseks klõpsake nupule Olgu ning kindlasti ärge unustage enne tööriistast väljumist kõiki muudatusi salvestamast menüükäsuga Fail -> Salvesta seadistus. Kui olete seadistusi muutnud, annab msecgui võimaluse need enne salvestamist üle vaadata.

Märkus

Reegleid võib samuti luua või muuta seadistustefaili /etc/security/msec/perms.conf redigeerides.

Ettevaatust

Õiguste kaardil (või otse seadistustefailis) tehtud muudatusi võetakse arvesse esimesel perioodilisel kontrollil (vt valikut CHECK_PERMS perioodiliste kontrollide kaardil). Kui soovite, et neid kohe arvestataks, kasutage käsureal administraatori õigustes käsku msecperms. Eelnevalt võib anda käsu msecperms -p, millega saab teada õigused, mida msecperms muudab.

Ettevaatust

Pange kindlasti tähele, et kui muudate õigusi käsureal või failihalduris, siis faili puhul, millel on õiguste kaardil ära märgitud kastike Jõuga kehtestamine, kirjutab msecgui mõne aja pärast vanad õigused tagasi vastavalt valikutele CHECK_PERMS ja CHECK_PERMS_ENFORCE perioodiliste kontrollide kaardil.

Isikliku tulemüüri seadistamine

drakfirewall

Selle tööriista[44] leiab Mageia juhtimiskeskuses paneelilt "Turvalisus". Tööriista saab avada ka tööriista "Süsteemi turvalisuse, õiguste ja auditi seadistamine" esimesel kaardil.

Tegu on lihtsa tulemüüriga, mille Mageia vaikimisi paigaldab. Kõik väljast tulevad ühendused saab blokeerida, nii et need on võimalikud ainult spetsiaalse loaga. Esimesel ekraanil, mida näeb ülaloleval pildil, saab valida teenused, mille korral on väljast tulevad ühendused lubatud. Turvalisuse huvides oleks mõistlik mitte märkida esimest kastikest - Kõik (tulemüür puudub) -, kui te just ei soovigi tulemüürist loobuda, ning märkida ainult need teenused, mida te vajate.

Siin võib käsitsi lisada pordid, mis tuleb avatuna hoida. Klõpsake Muud valikud, mille peale ilmub uus aken. Kirjutage väljale Muud pordid vajalikud pordid, järgides järgmiste näidete eeskuju:

80/tcp - pordi 80 avamine tcp protokollile

24000:24010/udp - kõigi portide avamine vahemikus 24000 kuni 24010 udp protokollile

Mitme pordi kirjutamisel tuleb nende vahele jätta tühik.

Kui märkida kastike Tulemüüriteadete logimine süsteemi logidesse, salvestataksegi tulemüüri teated süsteemi logidesse.

Märkus

Kui te ei paku just erilisi teenuseid (veebi- või e-posti server, failide jagamine...), võib õieti jätta kõik märkimata. See on isegi soovitatav: pidage silmas, et see ei takista teil endal sugugi internetis liikuda.

Järgmisel ekraanil saab paika panna interaktiivse tulemüüri tingimused. Nii näiteks hoiatatakse teid ühendusekatsete korral, kui märkida esimene valik Interaktiivse tulemüüri kasutamine. Teise valiku märkimisel saab hoiatuse, kui skannitakse teie masina porte (sellega püütakse leida võimalust mõnda tarkvaraviga ära kasutades masinasse tungida). Alates kolmandast märkekastist on ära toodud teenused ja pordid, mille märkisite kahel esimesel ekraanil. Siinsel pildil on neiks SSH-server ja 80:150/tcp. Kastikesi märkides saate ühendusekatse korral neis portides alati hoiatuse.

Hoiatusi näitab teatemullidena võrguaplett.

Viimasel ekraanil saab valida, millised võrguliidesed on internetti ühendatud, nii et nende üle tuleb valvata. Pärast klõpsu nupule "Olgu" laaditakse alla vajalikud tarkvarapaketid.

Vihje

Kui te ei tea, mida valida, uurige Mageia juhtimiskeskuse paneelil "Kohtvõrk ja internet" tööriista "Uue võrguliidese seadistamine".

Mageia tööriistade autentimise seadistamine

draksec

Selle tööriista[45] leiab Mageia juhtimiskeskuses paneelilt Turvalisus.

See võimaldab anda tavalistele kasutajale õiguse ette võtta tegevusi, mis muidu on administraatori ehk root-kasutaja pädevuses.

Klõpsake noolekesel kirje ees, mille soovite avada.

Enamik Mageia juhtimiskeskuses leiduvatest tööriistadest on loetletud aknas vasakul pool, nagu ülal oleval pildil näha, ning iga tööriista juures saab paremal rippmenüüst valida järgmiste võimaluste vahel:

  • Vaikimisi: käivitamisrežiim sõltub valitud turbetasemest. Selle kohta vaadake samal paneelil tööriista "Süsteemi turvalisuse, õiguste ja auditi seadistamine".

  • Kasutaja parool: enne tööriista käivitamist küsitakse kasutaja parooli.

  • Administraatori parool: enne tööriista käivitamist küsitakse administraatori parooli.

  • Parool puudub: tööriista käivitamisel ei küsita mingit parooli.

Võrguliideste ja tulemüüri põhjalikum seadistamine

drakinvictus

See lehekülg on seni veel kirjutamata. Kui arvate, et võite sobiva abiteksti ise kirja panna, võtke palun ühendust dokumentatsioonimeeskonnaga. Oleme teile juba ette tänulikud.

Tööriista saab käsurealt käivitada, kui anda administraatori õigustes käsk drakinvictus.

Lapselukk

drakguard

Selle tööriista[46] leiab Mageia juhtimiskeskuses paneelilt "Turvalisus" kirje alt Lapselukk. Kui sellist kirjet pole, siis tuleb paigaldada tarkvarapakett drakguard (vaikimisi seda ei paigaldata).

Tutvustus

Drakguard ehk lapselukk kujutab endast lihtsat viisi sätestada arvutis, kes ja millal midagi teha võib. Drakguard pakub selleks järgmisi võimalusi:

  • Veebi kasutamist saab piirata konkreetsete kasutajate ja konkreetsete kellaaegadega. Selleks kasutatakse Mageiasse sisse ehitatud tulemüüri.

  • Teatavate käskude andmist saab lubada vaid konkreetsetele isikutele, nii et nad saavad käivitada ainult seda, mis on neile lubatud.

  • Ligipääsu veebilehtedele saab piirata nii käsitsi määratud valgete ja mustade nimekirjadega kui ka dünaamiliselt, vastavalt veebilehe sisule. Selleks kasutab Drakguard juhtivat avatud lähtekoodiga lapselukuprogrammi DansGuardian.

Lapseluku seadistamine

Hoiatus

Kui teie arvutis on kettapartitsioone, millel on Ext2, Ext3 või ReiserFS failisüsteem, siis näete hüpikakent, mis soovitab sisse lülitada pääsuloendite kasutamise neil partitsioonidel. Pääsuloendid (ingliskeelse lühendiga ACL) on kerneli pakutav võimalus piirata ligipääsu konkreetsele failile kindlate kasutajate ringiga. Pääsuloendid on juba rakendatud Ext4 ja Btrfs failisüsteemis, kuid Ext2, Ext3 või ReiserFS korral tuleb see eraldi sisse lülitada. Kui valite "Jah", seadistab Drakguard kõik partitsioonid pääsuloendeid toetama ning teeb seejärel ettepaneku arvuti uuesti käivitada.

Lapseluku lubamine: märkimise korral lülitatakse lapselukk sisse ning saab kasutada kaarti Programmide blokeerimine.

Kogu võrguliikluse blokeerimine: märkimise korral blokeeritakse kõik veebilehed, välja arvatud need, mis on kirjas valges nimekirjas. Vastasel juhul on aga kõik veebilehed lubatud, välja arvatud need, mis on kirjas mustas nimekirjas.

Kasutajate ligipääs: vasakul asuvate kasutajate ligipääs on piiratud vastavalt määratud reeglitele. Paremal asuvatel kasutajatel on ligipääs piiramata, et täiskasvanud saaksid arvutit tarvitada ilma raskusi kogemata. Valige kasutaja vasakult ja klõpsake nupule Lisa, et lisada ta lubatud kasutajate sekka. Valige kasutaja paremal ja klõpsake nupule Eemalda, et kõrvaldada ta lubatud kasutajate loendist.

Ajakontroll: märkimise korral in interneti kasutamine piiranguid arvestades lubatud ajavahemikus Algus kuni Lõpp. Muul ajal on internet täielikult blokeeritud.

Musta ja valge nimekirja kaardid

Kirjutage ülal asuvasse tekstikasti veebilehekülje URL ja klõpsake nupule Lisa.

Programmide blokeerimise kaart

Määratud rakenduste blokeerimine: märkimisel saab kasutada pääsuloendeid, et piirata ligipääsu määratud rakendustele. Seejärel tuleb kirja panna nende rakenduste asukohad, mida soovite blokeerida.

Kasutajate blokeering: paremal asuvad kasutajad ei allu pääsuloendi piirangutele.



[43] Tööriista saab käsurealt käivitada, kui anda administraatori õigustes käsk msecgui.

[44] Tööriista saab käsurealt käivitada, kui anda administraatori õigustes käsk drakfirewall.

[45] Tööriista saab käsurealt käivitada, kui anda administraatori õigustes käsk draksec.

[46] Tööriista saab käsurealt käivitada, kui anda administraatori õigustes käsk drakguard.


CC BY-SA 3.0
Uploaded on 02/07/2019
loading table of contents...