На овом екрану можете изабрати између неколико сигурносних алата. Кликните на линк доле да би сазнали више.
Сигурност
одељак под именом „MSEC: Сигурност и провере система“ = Подесите систем сигурности, дозвола и контроле
одељак под именом „Напредно подешавање мрежних интерфејса и заштитног зида“
msecgui[43] је графички кориснички интерфејс за msec који омогућава да подесите сигурност вашег система у складу са два приступа:
Он подешава понашање система, msec намеће измене система да би га учинио сигурнијим.
Он спроводи аутоматске периодичне провере у циљу да вас упозори уколико указује на опасност.
msec користи концепт "нивоа сигурности" чија је намена подешавање групе системских дозвола, које могу бити измењене зарад промена или извршења. Неколико њих је предложено од Mageia, али ви сами можете дефинисати своје прилагођене нивое сигурности.
Погледајте снимак екрана горе
Први таб узима листу различитих сигурносних алата са тастером на десној страни да би их подесили:
Заштитни зид је пронађен у MCC / Сигурност / Подесите свој лични заштитни зид
Надоградње, такође пронађене у MCC / Управљање Софтвером / Надоградите свој систем
сам msec са додатним информацијама:
укључен или не
подешени Основни ниво сигурности
датум последњих Периодичнеих провера и тастер да би видели детаљан извештај и други тастер да би сада покренули нову проверу.
Кликом на други таб или на тастер Сигурност вас води на исти екран који је приказан доле.
Нивои сигурности:
Након што означите поље Омогући MSEC алат, овај таб цам омогућава да двокликенте да би изабрали ниво сигурности који онда постаје подебљан. Уколико поље није изабрано, ниво « none » се примењује. Следећи нивои су доступни:
Ниво none. Овај ниво је намењен уколико не желите да користите msec за контролу сигурности система, и више волите да га сами подесите. Искључује све сигурносне провере и рестрикције и ограничења везана за конфигурацију и подешавања система. Молимо вас да користите овај ниво сам уколико знате шта радите, јер ће оставити ваш систем рањивим на нападе.
Ниво Стандардни. Ово је подразумевана конфигурација инсталирана и подразумевана за обичне кориснике. Он ограничава неколико системских подешавања и извршава дневне сигурносне провере које откривају измене у системским фајловима, налозима система, и рањиве дозволе за директоријуме (Овај ниво је сличан нивоима 2 и 3 из претходне верзије msec-a).
Ниво Осигурани. Овај ниво је намењен онда када желите да осигурате систем, али да буде и употребљив. Он додатно ограничава дозволе на систему и извршава више периодичних провера. Надаље, приступ систему је додатно ограничен. (Овај ниво је сличан нивоима 4 (Високи) и 5(Параноични) из претходне верзије msec-a)
Поред ових нивоа, постоје различити нивои везани за поједине задатке, попут новоа за фајл сервер, веб сервер и нетбук. Такви нивои покушавају да поново поресе сигурност система у складу са најчешћом праксом.
Последња два нивоа који се зову audit_daily и audit_weekly и нису стварно сигурносни нивоу већ више само алати за периодичне провере.
Ови нивои су сачувани у
/etc/security/msec/level.<levelname>. Можете
дефинисати ваше сопствене сигурносне нивое, чувајући их у посебних фајловима
са називом level.<levelname>, смештеним у фолдеру
/etc/security/msec/. Ова функција је намењена искусним
корисницима којима је потребна посебна или више сигурна конфигурација
система.
Упозорење
Имајте на уму да параметри измњени од стране корисника имају предност у односу на подразумевана подешавања нивоа.
Сигурносни аларми:
Уколико означите поље , сигурносни аларми креирани од стране msec-a ће бити слани преко локалне ел.поште администратору за сигурност назначеном у оближњем пољу. Можете попунити или локалног корисника или комплетну адресу ел.поште (локална адреса ел.поште и менаџер ел.поште морају такође бити подешени). На крају, можете добити сигурносне аларме директно на ваш десктоп. Означите одговарајуће поље да би то укључили.
Важно
Веома се препоручује да омогућите опцију сигурносних аларма у циљу да одмах
обавестите адмиинистатора за сигурност о могућим сигурносним
проблемима. Уколико не, администратор ће морати редовно да проверава фајлове
дневника доступне у /etc/security/msec/.
Сигурносне опције:
Креирање прилагођеног нивоа није само начин за прилагођавање сигурности
рачунара, већ је такође могуће користити накнадно овде постојеће табове за
промену било које опције. Тренутна конфигурација msec-a се је смештена у
/etc/security/msec/security.conf. Овај фајл садржи име
тренутог нивоа сигурности и листу свих измена које су извршене на опцијама.
Овај таб приказује све сигурносне опције у колони на левој страни, објашњења у средишњој колони, и њихове тренутне вредности у колони на десној страни.
Да би изменили опцију, двокликните на њу и појавиће се нови прозор (снимак екрана доле). Он приказује име опције, кратак опис, тренутну и подразумевану вредност, и падајућу листу где можете изабрати нову вредност. Киклните на тастер да би потврдили избор.
Упозорење
Не заборавите да када излазите из msecgui-у сачувате вашу коначну конфигурацију преко менија . Уколико сте променили подешавања, msecgui вам омогућава да прегледате промене пре него што их сачувате.
Периодичне провере имају за циљ да обавесте администратора за безбедност преко сигурносних аларма или обавештења за све ситуације за које msec мисли да су потенцијално опасне.
Овај таб приказује све периодичне провере које је извршио msec и њихову учесталост уколико је поље означено. Промене су извршене слично као и на предходном табу.
Понекада алармна обавештења настају услед познатих и жељених ситуација. У тим случајевима она су бескорисна и представљају губљење времена за администратора. Овај таб вам омогућава да креирате произвољни број изузетака за које желите да избегнете нежељена обавештења. Очигледно је празан при првом покретању msec-a. Екран доле приказује четири изузетка.
Да би креирали изузетак, кликните на тастер
Изаберите жељени ниво провере у падајућој листи са називом Провера а онда, унесите Изузетак у текстуално поље. Додавање изузетка очигледно није коначно, ви га можете или избрисати коришћењем тастера у табу Изузеци или изменити са двокликом.
Овај таб је намењен за проверу и примену дозвола фајлова и директоријума.
Као и за сигурност, msec поседује различите нивое дозвола (стандардни,
сигурни, ..) који су омогућени у складу са изабраним нивоом
сигурности. Можете креирати сопствене прилагођене нивое сигурности, чувајући
их посебним фајловима названим perm.<levelname>
смештеним у фолдер /etc/security/msec/ . Ова функција
је намењена искусним корисницима којима је потребна прилагођена
конфигурација. Такође је могуће користити надаље овде приказани таб за
промену било које дозволе коју желите. Тренутна конфигурација се налази у
/etc/security/msec/perms.conf.Овај фајл садржи листу
свих измена направљених на дозволама.
Подразумеване дозлове су видљива као листа правила (једно правило по линији). Можете видети на левој страни, фајл или директоријум кога се правило тиче, затим власника, групу као и дозволу дату самим правилом. Уколико, за дато правило:
поље Обавезно примени није означено, msec само проверава да ли су утврђене дозовле за ово правило поштују и шаље аларм поруку уколико нису, али не врши било какве измене.
поље Обавезно примени јесте означено, онда msec ће применити дозволу при првој перидоичној провери и преписати дозволе.
Важно
Да би ово радило, опција CHECK_PERMS у табу Периодичне проверамора бити одговарајуће подешена.
За креирање новог правила, кликните на тастер и попуните поље како је приказано у примеру доле. Џокер * је дозвољен у пољу Фајл. "тренутно" значи без измена.
Кликните на тастер да би проверити избор и не заборавите да када излазите снимите вашу коначну конфигурацију корићењем менија . Уколико сте променили пдешавања, msecgui вам омогућава да прегледате измене пре него што их сачувате.
Примедба
Такође је могуће да креирате или подесите правила изменом конфигурационог
фајла /etc/security/msec/perms.conf.
Упозорење
Измене у табу Дозволе (или директно у конфигурационом фајлу) се узимају у обзир при првој периодичном провери (проверите опцију CHECK_PERMS у табу Периодичне провере). Уколико желите да оне одмах ступе на снагу, користите команду msecperms у конзоли са root овлашћењима. Пре тога, можете користити команду msecperms -p да би видели које ће дозволе бити промењене са msecperms.
Упозорење
Не заборавите да уколико измените дозволе у конзоли или фајл менаџеру, за фајл где је поље "Обавезно примени" означено у табу Дозволе, msecgui ће поново уписати старе дозволе после неког времена, у складу са конфигурацијом опција CHECK_PERMS и CHECK_PERMS_ENFORCE у табу Периодичне Провере .
Овај алат [44] се може пронаћи у Mageia Контролном Центру, под табом Сигурност, са ознаком "Подесите свој лични заштитни зид". То је исти алат који се налази на првом табу "Подесите сигурност, дозволе и провере система"
Основни Заштитни зид је подразумевано инсталиран са Mageia. Све долазеће конекције од споља су блокиране уколико нису ауторизоване. На првом екрану горе, можете изабрати сервисе за које су покушаји спољних конекција за повезивање прихваћени. Ради ваше сигурности, деселектујте прво поље - Све (без заштитног зида) - осим уколико желите да искључите заштитни зид, и само одаберете потребне сервисе.
Могуће је ручно унети бројеве портова који треба да буду отворени. Кликните на и отвориће се нови прозор. У пољу Остали портови, упишите потребне портове пратећи ове примере:
80/tcp : отворен порт 80 tcp протокол
24000:24010/udp : отвара све портове од 24000 to 24010 udp протокол
Приказани портови би требало да буду одвојени размаком.
Уколико је означено поље Бележење порука заштитног зида у системски дневник, поруке заштитног зида ће бити сачуване у системском дневнику.
Примедба
Уколико поседујете одређене сервисе (веб или сервер ел.поште, дељење фајлова, ...) апсолутно је могуће да не морате ништа да одаберете, чак је и препручено, а неће спречити вашу конекцију са Интернетом.
Следећи екран се бави опцијама Интерактивног Заштитног зида. Ове опције вам омогућавају да будете упозорени приликом покушаја повезивања уколико бар прво поље Користи Интерактивни Заштитни зид одабрано. Изаберите друго поље да би били упозорен уколико је дошло до скенирања портова (у циљу проналажења пропуста и уласка на вашу машину). Свако поље од трећег надаље одговара порту којег сте отворили на прва два екрана; на снимку екрана доле, постоје два таква поља: SSH сервер и 80:150/tcp. Изаберите их да би било упозорени сваки пут када дође до покушаја конекције на те портове.
Ова упозорења су дата од стране искачућих аларма преко мрежног додатка.
На последњем екрану, изаберите који мрежни интерфејси су повезани на Интернет и морају бити заштићени. Када једном кликнете на тастер У реду, неопходни пакети ће бити преузети.
Савет
Уколико не знате шта да одаберете, подледајте таб Мрежа & Интернет у MCC-у, иконица Подесите нови мрежни интерфејс.
Овај алат [45] се може пронаћи у Mageia Контролном Центру, у табу Сигурност
Он омогућава да регуларни корисници добију овлашћења потребна за задатке које обично извршава администратор.
Кликните на малу стрелицу пре ставке уколико желите падајући:
Већијна алата доступних у Mageia Контролном Центру су приказани на левој страни прозора (погледајте снимак екрана горе) а за сваки алат, падајућа листа на десној страни даје избор између:
Подразумевано: Мод за покретање завиис од изабраног нивоа сигурности. Погледајте исти MCC таб, алат "Подешавање сигурности система, дозвола и провера"
Корисничка лозинка: захтевати корисничку лозинку пре покретања алата.
Адмистраторска лозинка: захтевати администраторску лозинку пре покретања алата
Без лозинке: алат се може покренути без потребе за уношењем било које лозинке
Ова страница још увек није написана због недостатка извора. Уколико мислите да можете ви да га напишете контактирајте Документациони тим. Унапред се захваљујемо.
Овај алат можете покренути из командне линије, куцањем команде drakinvictus као root.
Овај алат [46] се може пронаћи у Mageia Контролном Центру, под табом Сигурност, са ознаком Родитељска контрола. Уколико не видите ову ознаку, мораћете да инсталирате drakguard пакет (подразумевано није инсталиран).
Drakguard представља једноставан начин за подешавање родитељске контроле на вашем рачунару да би ограничили ко шта може да уради, и у које доба дана. Drakguard има три корисне могућности:
Он ограничава приступ вебу именованим корисницима у одређено доба дана. То чини контролисањем заштитног зида уграђеног у Mageia.
Он блокира извршење одређених команди именованим корисницима тако да ти корисници могу да изврше само оно што им дозовољавате.
Он ограничава приступ веб сајтовима, било ручно одређеним кроз црне/беле листе, било динамички, базиран на садржају вебсајта. Да би ово постигао Drakguard користи најбољи програм за родитељску контролу отвореног кода DansGuardian.
Упозорење
Уколико ваш рачунар садржи партције тврдог диска које су форматиране у Ext3, Ext3, или RaiserFS формату видећете искачући прозор који нуди подешавање ACL-а на вашим партицијама. ACL представља Access Control Lists - Листе за Контролу Приступа, и опција је Линукс кернела која омогућава да приступ индивидуалним фајловима буде ограничен именованим корисницима.. ACL је уграђен у Ext4 и Btrfs фајл системе, али мора бити укључен као опција у Ext2, Ext3, или Reiserfs партицијама. Уколико изаберете 'Да' на овом промпту drakguard ће подесити да све ваше партиције подржавају ACL, а затим вам предложити да рестартујете рачунар.
: уколико је означено, родитељска контрола је омогућена и отворен је приступ табу Блокирај програме.
: уколико је означено, сви веб сајтови су блокирани, изузев оних који се налазе у табу Бела листа. У супротном, сви сајтови су доступни, изузев оних у табу Црна листа..
: Корисницима са леве стране ће бити ограничен приступ у складу са правилима која сте успоставили. Корисници са десне стране неће имати ограничен приступ тако да одрасли корисници рачунара не би било ометени. Изаберите корисника не левој страни и кликните на да би њега/њу додали као дозвољеног корисника. Изаберите корисника са десне стране и кликните на да би њега/њу уклонили из дозвољених корисника.
Ако је означено, приступ интернету је дозовољен уз рестикције између Почетног и Завршног времена. Тотално је блокиран ван овом временског оквира.
[43] Овај алат можете покренути из командне линије куцањем msecgui као root.
[44] Овај алат можете покренути из командне линије куцањем drakefirewall као root.
[45] Овај алат можете покренути из командне линије куцањем draksec као root.
[46] Овај алат можете покренути из командне линије куцањем drakeguard као root.
