Pantaila honetan hainbat segurtasun tresnen artean aukeratu. Egin klik azpiko estekan gehiago ikasteko.
Segurtasuna
honela deritzon atala “MSEC: Sistemaren segurtasuna eta auditoritzak” = Konfiguratu segurtasun-sistema, baimenak eta auditoria
honela deritzon atala “Autentifikazioa konfiguratu ezazu Mageia tresnetarako”
honela deritzon atala “Sare interfaze eta suhesientzako ezarpen aurreratua”
msecgui[43] mseg-ren erabiltzaile interfaze grafiko bat da zure segurtasun-sistema konfiguratzeko bi ikuspegiren arabera:
Sistemaren portaera ezartzen du, mseg-ek aldaketak inposatzen sistema seguruagoa izan dadin.
Sistemako era automatikoan kontrolak burutzen ditu zerbait arriskutsua dela ohartarazteko asmoz.
msec "segurtasun maila" sistema honek baimen multzo bat konfiguratzeko erabiltzen diren kontzeptuak erabiltzen ditu, baimen horiek ikuskatu daitezke aldatzeko edo berresteko. Hainbat maila Mageiak eskaintzen ditu, baina zure ohiko segurtasun mailak defini ditzakezu.
Ikusi goiko screenshot-a
Lehenengo fitxan segurtasun tresna ezberdinen zerrenda hartzen du eskuinaldeko konfiguratzeko botoi batekin:
Suebakia, halaber MMC / Segurtasuna / Konfiguratu zure suebaki pertsonalak
Eguneratzeak, halaber MCC / Software Kudeaketa / Zure sistema eguneratu
msec beraren informazio batzuk:
Gaitu edo ez
Konfiguratutako Base segurtasun-maila
Aldizkako azken egiaztapen data eta botoi bat txosten zehatza ikusteko eta beste botoi bat gaur egungo egiaztapenak exekutatzeko besterik ez.
Klik bigarren fitxan edo Segurtasuna botoian hurrengo pantailara daramana.
Segurtasu mailak:
Hautatu ondoren koadroan MSEC tresna gaitu, fitxa honek aukera ematen dizu Klik bikoitzaren ondoren lodiz agertzen den segurtasun maila aukeratzea. Koadroa ez bada markatzen, maila «bat ere ez» aplikatuko da. Honako maila hauek daude eskuragarri:
Maila bat ere ez. Maila honen helburua, ez baduzu mseg erabili nahi segurtasun-sistema kontrolatzeko, eta nahiago duzu zure kabuz fintzea. Segurtasun kontrol guztiak indargabetzen dira eta sistemaren konfigurazioa eta ezarpen murrizketak muga gabe jartzen dira. Mesedez, erabili maila hau zuk zer egiten ari zaren jakiten baduzu soilik, zure sistema bitartean erasoentzako ahula utziko luke.
Maila estandarra. Hau instalatutako konfigurazio lehenetsia da, eta aldi baterako erabiltzaileei zuzenduta. Hainbat sistemaren ezarpenak mugatuko ditu eta egunero segurtasun egiaztapenak exekutatzen ditu sistema fitxategiak, sistema-kontuak, eta direktorio ahulen baimenen aldaketak detektatzeko. (Maila honek mseg-en iragan bertsioen 2 eta 3 mailen antzekoa da).
Maila segurua. Maila hau zure sistema segurua dela ziurtatzea desiratzen duzunean zuzenduta dago, oraindik baliagarria. Are gehiago sistema baimenak mugatzen ditu eta aldizkako egiaztapen gehiago exekutatzen. Gainera, sisteman sartzeko aukera murritzagoa da. (Maila honek mseg-en bertsio zaharren 4 (Altua) eta 5 (Paranoia) mailen antzekoa da).
Maila horiek ez ezik, beste zereginei bideratutako segurtasun ere ematen da, besteak beste, fileserver, webserver eta netbook mailak. Horrelako mailak sistemaren segurtasuna aurrez konfiguratzen saiatzen dira ohiko erabiltze kasuen arabera.
audit_daily izeneko eta audit_weekly ez da benetan segurtasun mailak aldizkako egiaztapen soilik egiten duten tresnak baizik.
Maila hauek etc/security/msec/level<levelname>
atalean gordeta daude. Zure neurrira egindako segurtasun-mailak defini
ditzakezu, level.<levelname> izeneko fitxategi
zehatzetan, etc/security/msec/ karpetan. Funtzio hau
sistema-konfigurazio pertsonalizatua edo seguruago bat behar duten boteredun
erabiltzaileentzat zuzendu dute.
Kontuz
Gogoan izan, erabiltzaileak aldatutako parametroak lehenetsitako mailako ezarpenen aurretik erabiltzen direla.
Segurtasun alertak:
Koadroa egiaztatu baduzu , msec ssortutako segurtasun alertak posta elektroniko bidez bidaliko dira hurbileko eremu batean adierazitako tokiko segurtasun kudeatzaileari. Tokiko erabiltzaile bat edo e-mail helbide osoa (tokiko e-mail eta e-mail kudeatzailea horren arabera ezarri behar dira) sartu beharko duzu. Azkenean, segurtasun alertak zuzenean zure mahaigainean jaso ditzakezu. Egiaztatu dagokion kutxa gaitu.
Garrantzitsua
Biziki komeni da segurtasun alertak gaituta egon behar dira berehala
segurtasun administratzaileari posible diren segurtasun arazoaz
informatzeko. Hala ez bada, administratzaileak aldizka egiaztatu behar ditu
eskuragarri dauden /var/log/security fitxategiak.
Segurtasun aukerak:
Maila pertsonalizatu bat sortzea ez da segurtasun informatikoa
pertsonalizatzeko modu bakarra, posible da, nahi duzun edozein aukera
hautatu ondoren, hemen aurkeztutako fitxak erabiltzea. Uneko msec
konfigurazioa /etc/security/msec/security.conf-en
gordetzen da. Fitxategi honek uneko segurtasun maila izena eta aukerekin
egindako aldaketak guztien zerrenda du.
Fitxa honek segurtasun aukera guztiak ezkerreko zutabean, erdiko zutabekoan deskribapena, eta beren gaur egungo balioak eskuinaldeko zutabean erakusten ditu.
Aukera bat aldatzeko, klik bikoitza gainean eta leiho berri bat agertuko da (ikus beheko pantailaren kaptura). Aukera-izena, deskribapen labur bat, gaurko eta lehenetsitako balioak, eta destolesgarri zerrendan balio berriak hauta daitezkeela erakusten du. Sakatu botoia aukera balioztatzeko.
Kontuz
Ez ahaztu irtetean msecgui behin betiko zure konfigurazioa gordetzea menu erabiliz. Dituzun ezarpenak aldatu badituzu, horiek gorde aurretik aldaketak aurreikusteko aukera ematen dizu msecgui.
Fitxa honek sareko aukera guztiak erakusten ditu eta aurreko fitxa bezala funtzionatzen du
Aldizkako egiaztapenen helburua segurtasun administratzailea mseg-ek egoera guztien alerten bidez informatzeko segurtasun arrisku potentzialei buruz.
Fitxa hau mseg egiten dituen aldizkako azterketa eta haien maiztasun guztiak bistaratzen ditu koadroa hautatuta badago. Aurreko fitxetan bezala egiten dira aldaketak.
Batzuetan alerta mezuak ondo ezagututako eta nahi egoeren ondorio dira. Kasu horietan ezertarako eta alferrik galtzen administratzailearen denbora da. Fitxa honetan nahigabeko alerta mezuak ekiditeko nahi dituzun salbuespenak sortzeko aukera ematen du. Jakina, lehen mseg hasieran hutsik egoten da. Pantaila kaptura beheko lau salbuespenak erakusten ditu.
Salbuespen bat sortzeko, botoia sakatu
Nahi duzun aldizkako egiaztapena zerrenda destolesgarritik Ikuskaritza eta mota Salbuespena idatzi testu-koadroan. Gehitu salbuespena, jakina, ez da behin betiko, Salbuespenetako erabiliz ezaba dezakezu edo klik bikoitz batekin aldatu.
Fitxa hau fitxategi eta direktorioko baimenak egiaztatu eta betearazteko bideratuta dago.
Segurtasunerako, mseg maila ezberdinetako baimenen (estandarra, seguru, ..),
horren arabera gaitzen dira aukeratutako segurtasun-mailak. Zure neurriko
baimen mailak sortu ditzakezu, perm.<levelname>
izeneko fitxategi zehatzetan gordez
etc/security/msec/ karpetan kokatuta daudenak. Funtzio
hau konfigurazio pertsonalizatua eskatzen duten boteredun erabiltzaileei
zuzenduta. Posible da nahi duzun edozein baimen aldatzeko hemen aurkezten
fitxa erabili ondoren. Oraingo konfigurazioa
/etc/security/msec/perms.conf-en gordeta
dago. Fitxategia honek baimenei egindako aldaketa guztien zerrenda du.
Berezko baimenak arau zerrenda bat (lerro bakoitzeko arau bat) gisa ikusgai daude. Ezkerreko aldean ikus dezakezu, fitxategi edo karpeta tratatutako araua, ondoren jabeak, gero taldeak eta ondoren arauak emandako baimenak. Arau jakin batentzako:
Betearazi koadroa ez da egiaztatu, mseg soilik egiaztatzen du definitzen baditu arau honentzako eskubideak errespetura eta alerta-mezu bat bidaltzen du, ez badu ezer aldatzen.
Betearazi koadroa egiaztatu da, oorduan mseg-ak gobernatuko du aldian baimenen behingo lehen kontroleko errespetura eta baimenak berridaztea.
Garrantzitsua
Hau erabili ahal izateko, aukeratu CHECK_PERMS Aldizkako kontrol fitxan horren arabera konfiguratu behar da.
Arau berri bat sortzeko, botoia sakatu eta bete eremuak beheko adibidean bezala. Joker * Fitxategi eremuan onartzen da. "Uneko" aldaketarik ez badakar.
Sakatu botoia aukera balioztatzeko eta ez ahaztu behin betiko zure konfigurazioa gordetzea menu erabiliz. Dituzun ezarpenak aldatu badituzu, horiek gorde aurretik aldaketak aurreikusteko aukera ematen dizu msecgui.
Oharra
Posible da arauak sortu edo
aldatzea/etc/security/msec/perms.conf konfigurazio
fitxategia editatuz.
Kontuz
Baimenetan (edo zuzenean konfigurazio fitxategian) izandako aldaketak kontuan hartzen dira lehen aldizkako egiaztapenean (ikus CHECK_PERMS Aldizkako egiaztapenak). Haien eragina berehala indarrean sartzea nahi baduzu, erabili msecperms komandoa administratzaile eskubideko kontsola batean. Aurretik msecperms -p komandoa erabili dezakezu msecperms aldatuko dituen baimenak ezagutzeko.
Kontuz
Ez ahaztu kontsola batean edo fitxategi kudeatzailean baimenak aldatu badituzu, fitxategi bat non Aplikatu koadroa hautatuta dagoen Baimenen fitxan, msecgui baimen zaharrak idatziko ditu atzera pixka bat egin ondoren, horren arabera aukera CHECK_PERMS eta CHECK_PERMS_ENFORCE konfigurazioa agertzen den Aldizkako Egiaztapen fitxa.
Tresna hau[44] Mageia Kontrol Guneko Segurtasun fitxan dago etiketaturik "Konfiguratu suebaki pertsonala". Lehenengo fitxako "Konfiguratu segurtasun-sistema, baimenak eta auditoria" tresna bera da.
Oinarrizko suebaki bat instalatzen da modu lehenetsian Mageia-rekin. Kanpoaldetiko konexio guztiak oztopatzen ditu ez badaude baimenduta. Goiko lehen pantailan, zerbitzuak hauta ditzakezu zeinetarako kanpoko konexio-ahaleginak onartuko diren. Zure segurtasunerako, desmarkatu lehen kutxa - Guztia (suebaki gabe) - suebakia desgaitu nahi ez baduzu behintzat, eta soilik beharrezko zerbitzuak egiaztatzeko.
Posible da, portu-zenbakiak eskuz sartzea irekitzeko. Sakatu eta leiho berri bat irekiko da. Beste portuak eremuan, sartu behar diren portuak honako adibideak jarraituz :
80/tcp : ireki 80 portua tcp protokoloan
24000:24010/udp : ireki 24000 portutik 24010 portura udp protokoloan
Zerrendatutako portuak espazio baten bidez bereizi behar dira.
Suebaki erregistro mezuak sistemaren erregistroaren laukia aktibatuta badago, suebakiaren mezuak sistemaren erregistroetan gordeko dira
Oharra
Ez baduzu barne zerbitzu espezifikorik (web edo posta zerbitzaria, fitxategi partekatzea...) erabat posiblea da ezer ez markatuta izatea, gomendatzen dute, ez dizu eragozten Internetera konektatzea.
Hurrengo pantaila Suebaki aukera Interaktiboekin banatzen da. Ezaugarri hauek konexio-saioez zuri ohartaraztea baimentzen dutela espero dute gutxienez lehen lauki Suebaki Interaktiboa Erabili markaturik badago. Bigarren laukia marka ezazu portuak eskaneatu egiten badira (nonbait faila bat aurkitzeko eta zure makinan sartzeko asmoz) abisatzeko. Hirugarreneko lauki bakoitzak hemendik aurrera lehen bi pantailetan ireki zenituen portuena da; beheko pantailan, bi gutunontzi daude: SSH zerbitzaria eta 80:150/tcp. Portu horietan konexioa saiatzen den bakoitzean abisatzeko egiazta itzazu.
Ohartarazpen hauek alerta popups sare applet bitartez eman dira.
Azken pantailan, aukeratu zein sare interfazeak Internetera konektatzen diren eta babestu egin itzazu. Ados botoian klikatu eta gero, beharrezko paketeak jaitsi egingo dira.
Iradokizuna
Ez badakizu zer aukeratu, MCC-en Sare & Internet fitxa, Ezarri sare interfaze berri bat ikonoan begirada bat bota.
Tresna hau[45] Mageia Kontrol Gunean Segurtasun fitxa pean dago presente.
Normalean administratzaileak lanak egiteko beharrezko eskubideak ohiko erabiltzaileak edukitzea baimentzen du.
Gezi txikiak klikatu ezazu aldaketak egitea desiratzen duzun zerrendaren elementuan:
Mageia Kontrol Gunean eskuragarri dauden tresna gehienak leihoko ezkerreko aldetik agertzen dira (ikus pantaila kaptura gainetik), eta tresna bakoitzerako, eta eskuineko zerrendan hurrengoaren artean aukeratzea ematen du:
Lehenetsia: Abian jartzeko modua aukeratutako segurtasun-mailaren araberakoa da. MCC fitxa berean ikusi, tresna "Konfiguratu segurtasun-sistema, baimenak eta auditoria".
Erabiltzaile pasahitza: erabiltzaile pasahitza tresna abian jarri ondoren galdetzen da.
Administratzailearen pasahitza: root pasahitza tresna abian jarri aurretik eskatzen da
Pasahitz gabe: tresna edozein pasahitz eskatu gabe abian jarri da.
Orrialde hau ez da oraindik idatzi dira baliabide falta dela eta. Laguntza hau idatzi ahal izango duzula uste baduzu, mesedez jarri harremanetan Doc taldea-rekin, eskerrak aldez aurretik.
Komando-lerrotik tresna hau abiaraz dezakezu, drakinvictus root bezala idatziz.
Tresna hau[46] Mageia Kontrol Gunean, Segurtasun fitxan pean dago, etiketaturik Guraso Kontrol. Ez baduzu etiketa hau ikusten, drakguard paketea (lehenetsiz instalatu gabe) instalatu behar duzu.
Drakguard modu erraz batean guraso kontrolak ezartzeko zure ordenagailua mugatzeko nork zer egin dezakeen eta zein eguneko garaietan. Drakguard hiru gaitasun erabilgarri ditu:
Erabiltzaile izenekoei sarbidea mugatuta dago erlojua ezartzea. Hau shorewall Mageiaren suebaki integratua erbiliz egiten da.
erabiltzaile izenekoei bereziki komandoak exekutatzea blokleatzen du beraz, erabiltzaile horiek onartzen dutena soilik exekutatu dezakete.
Sarbidea mugatzen du webgune batzuetara, bai eskuzko zerrenda beltz/zurien bidez definitzen da, baina baita dinamikoki web gunearen edukian oinarrituta. Hau lortzeko Drakguard kode irekiko gurasoen kontrol blokeatzaile liderra DansGuardian erabiltzen du.
Abisua
Zure ordenagailuak Ext2-etan, Ext3-etan, edo ReiserFS-formatuan partiziorik badauzka, popup bat ikusiko duzu ACL-ak zure partizioetan konfiguratzeko. ACL-ak Sarbideko Kontroleko Zerrendak esan nahi izaten du, eta banakako fitxategietarako sarrera izendatutako erabiltzaileengana mugatzea onartzen duen Linux-eko nukleoko ezaugarri bat da. ACL-ak Ext4-etan eta Btrfs-ek sistemak artxiboetan egin dituzte, baina aukera batek ahalbidetzen ditu Ext2-etan, Ext3-etan, edo Reiserfs-partizioetan. 'Bai' hautatzen baduzu drakguard-ek zure partizio guztiak konfiguratuko ditu ACL-a sostengatzeko, eta orduan berrabiarazteko oharra iradokiko dizu.
: Egiaztatuta badago, kontrola gurasoen gaituta dago eta Programetarako sarbidea Blokeatu fitxa irekitzen da.
: Hautatuta badago, web orri guztiek blokeatuta daude, eta zerrenda zuria fitxan direnak izan ezik. Bestela, web orri guztiek onartzen dira, zerrenda beltzak fitxan direnak izan ezik.
Sarbidea ezkerrean agertzen diren erabiltzaileengana murriztu da zehaztu dituzun erregelak ezagututa. Eskuineko aldeko erabiltzaileek sarbidea murrizketarik gabe dute konputagailuko erabiltzaile helduei ez ditzatela eragotzi. Ezkerreko erabiltzaile bat hautatu eta egin klik hura erabiltzaile baimendutako zerrendari gehitzeko. Eskuineko erabiltzaile bat hautatu eta sakatu baimendutako erabiltzaile zerrendatik ezabatzeko.
hautatzen bada, interneteko sarbide Hasiera eta Amaiera denboren artean murrizketak onartuko dira. Era bat blokeatuta egongo da leiho denbora honetatik kanpo.
[43] Komando-lerrotik tresna hau abiaraz dezakezu, msecgui root bezala idatziz.
[44] Komando-lerrotik tresna hau abiaraz dezakezu, drakfirewall root bezala idatziz.
[45] Komando-lerrotik tresna hau abiaraz dezakezu, draksec root bezala idatziz.
[46] Komando-lerrotik tresna hau abiaraz dezakezu, drakguard root bezala idatziz.
