在这一窗口中,您可以选择各种用于系统安全配置的工具。请点击下方的链接来了解更多信息。
安全
msecgui[43]是用于配置系统安全的 msec 图形化界面,可用的操作有:
设置系统行为,使用 msec 来调整系统以便系统更安全。
周期性检查系统,以便在发生危险时及时通知您。
msec 使用“安全等级”的概念来管理系统权限,您可以对权限的变更或加固进行审计。Mageia 提供了推荐的配置,但您也可以自己定制安全等级。
参见上述截图
第一个选项卡中包活了各类安全工具,右侧的按钮可以配置这些工具:
防火墙,它也可以通过 MCC / 安全 /设置您的个人防火墙 来启动
更新,它也可以通过 MCC / 软件管理 /更新您的系统 来启动
msec 私有的配置:
是否启用
预设的基础安全等级
最近一次周期检查的时间、用于查看详细报告的按钮和用于立即执行检查的按钮。
点击第二个选项卡,或者点击安全
按钮也会打开上述窗口。安全等级:
在勾选了启用 MSEC 工具后,您可以在此选项卡中双击选择所需的安全等级(以粗体字表示)。如果您没有勾选任何等级,将会使用等级“无”。您可以使用的等级有:
无等级。如果您不希望使用 msec 来控制系统安全,而希望自己进行配置,请选择此等级。系统将禁用所有安全检查,并且不会对系统配置做任何限制。仅当您清楚自己的目的时才使用此等级,因为这样做可能导致系统容易遭受攻击。
标准等级。这是安装时默认使用的配置,可以用于普通用户。系统将限制部分系统设置,并且每天检查系统文件、系统账户和危险目录的权限的变更情况。(此等级与之前版本的 msec 使用的等级 2 和 3 类似)
安全等级。当您想确保系统安全,同时保证系统可用性时,请使用此等级。系统将进一步收紧系统权限,并提高周期性检查的频率。此外,也会限制系统的访问。(此等级与之前版本的 msec 使用的等级 4(高) 和 5(严格) 类似)
除了这些等级之外,msec 也提供了用于不同任务的安全设置,如 fileserver(文件服务器) 、webserver(网络服务器) 和 netbook(上网本) 等级。这些等级适用于在大多数情况下对系统安全进行配置。
最后两个等级叫做每日审计 和 每周审计,它们并非真正的安全等级,而是用于进行周期性检查的工具。
这些等级保存于
/etc/security/msec/level.<levelname>
。您可以自定义安全等级,并将其保存至特定的文件中,文件名的格式为
level.<等级名称>
,并将其放到
/etc/security/msec/
。此功能适用于对系统配置有特殊需求的超级用户。
小心
请记住,用户自定义的参数将会覆盖预设的默认等级。
安全警报:
如果您勾选了
,msec 生成的安全警报将通过本地邮件服务发送至预先设定的安全管理员。您可以在收件人地址一栏填写一个本地用户名,或完整的电子邮件地址(同时应当设置本地邮件和邮件管理器)。最后,您将可以直接在桌面读取 msec 发送的安全警报。请勾选相应的复选框来启用这一功能。重要
我们强烈建议您启用安全警报功能,以便在系统出现可能的安全问题时能及时反馈给安全管理员。否则,管理员需要定期手动检查
/var/log/security
下的日志文件。
安全选项:
自定义计算机安全的方法不仅限于创建自定义安全等级,您也可以使用此处介绍的选项卡来修改任意选项。当前的 msec 配置存储在
/etc/security/msec/security.conf
,此文件包含了当前的安全等级名,以及一系列针对默认参数进行的修改。
此选项卡的左侧显示了所有安全选项,中间显示了相关的描述,右侧显示了选项当前的值。
若要修改某个选项,请双击它,然后在弹出的窗口(见下面的截图)中进行修改。窗口中将显示选项的名词、简短描述、当前值和默认值,以及包含可选值的下拉列表。请点击
按钮来确认修改。小心
在退出 msecgui 时,请不要忘记点击菜单
来应用您的配置。如果您做了更改,msecgui 在保存前会提示您预览这些更改。周期检查用于通过安全警告将 msec 认为可能危险的情形发送给系统管理员。
此选项卡中显示了所有 msec 完成的周期检查,如果勾选了
,还将显示检查的频率。请参考上一个选项卡的介绍进行操作。部分警报信息可能并非源于系统风险,您可能有意让它们发生。在这种情况下,安全警报就显得不必要了。您可以在此选项卡中创建任意数量的例外,以避免不需要的安全警报。当 msec 首次启动时,列表中是空的。下面的截图中包含了四个例外。
若要创建例外,请点击
按钮请在检查下拉列表中选择需要的周期检查,然后在文本区域输入 例外。您也可以在 例外 选项卡中使用 按钮将现有的例外删除,或者双击某个例外来更改它。
此选项卡用于进行文件/目录权限检查和加固。
与安全选项卡类似,msec
提供了不同的权限等级(标准、安全……),分别根据您的选择予以启用。您也可以创建自己的权限等级,并将其保存在特定的文件中,文件名为perm.<等级名>
,且放置于 /etc/security/msec/
文件夹中。此功能适用于需要自定义配置的超级用户。您也可以使用此选项卡来改变所需的权限。当前的配置存储在
/etc/security/msec/perms.conf
。此文件包含一系列针对默认参数进行的修改。
默认权限以规则列表的形式显示,每行显示一条规则。您可以在左侧看到与某个规则相关的文件或文件夹、文件所有者、文件所有组以及此规则授予的权限。例如,对于给定的规则:
加固 未被勾选,则 msec 将只检查此规则定义的权限是否有效,如果无效则发送安全警报,但不做任何更改。
加固被勾选,则 msec 将根据第一次周期检查时得到的权限信息改写当前权限。
重要
若要使用此功能,您必须正确配置周期性检查选项卡中的 CHECK_PERMS 选项。
若要创建新规则,请点击文件字段中可以使用通配符 *。“current”表示尚未被更改。
按钮,并参考以下示例填写相应字段。点击
按钮来确认更改。不要忘记点击菜单 来应用您的配置。如果您做了更改,msecgui 在保存前会提示您预览这些更改。注意
您也可以手动创建或修改配置文件 /etc/security/msec/perms.conf
。
小心
权限选项卡(或配置文件)中的更改将在首次周期性检查时生效(参见周期检查选项卡中的 CHECK_PERMS 选项)。如果您希望它们立即生效,请以 root 权限在命令行执行 msecperms。在此之前,您可以使用“msecperms -p”命令来了解 msecperms 将要更改的权限。
小心
请记住,如果您通过终端或文件管理器修改了被 Enforce 文件的权限,msecgui 随后将会根据权限选项卡中的 CHECK_PERMS 和 CHECK_PERMS_ENFORCE 选项将其恢复到之前的值。
此工具[44]可以在 Mageia 控制中心的系统选项卡中找到,选项名称是“设置个人防火墙”。它与第一个选项卡中的“配置系统安全、权限和审计”是同一个工具。
Mageia 默认安装了基本的防火墙。所有未经授权的外部连接都会被拒绝。在以上第一个窗口,您可以选择要接受的外部连接所对应的服务。除非您希望禁用防火墙,否则为了安全起见,请不要勾选第一个方框所有(无防火墙),而只勾选所需的服务。
可以手动输入您希望开放的端口号。请点击其他端口中输入所需端口,如下例所示:
,然后在弹出的新窗口中的80/tcp:开放 80 端口的 TCP 协议
24000:24010/udp : 开放 4000 至 24010 端口的 UDP 协议
不同的端口号间使用空格分隔。
若勾选了将防火墙消息记录到系统日志,防火墙的相关消息将会保存至系统日志
注意
如果您不打算用计算机提供特定服务(网页、邮件服务器、文件共享等),我们建议您不要勾选任何项目,而且这并不会影响到您的互联网连接。
下一个窗口用于配置交互式防火墙选项。当勾选了第一项使用交互式防火墙,系统将会在连接发起时弹出警告。若勾选了第二项,则系统在检测到端口扫描(常被用于扫描漏洞并入侵系统)时弹出警告。第三项及其之后的方框用于设置您在前两个窗口中开启的端口;在下面的截图中,系统中启用了 SSH 服务和 80:150/tcp 端口。请选择要在哪些端口被连接时弹出警告。
此警告将由网络应用程序以警示弹窗的形式发出。
在最后一个窗口中,请选择需要连接到互联网并且需要保护的网络接口。点击确定按钮后,将会自动下载所需软件包。
提示
如果您不清楚如何选择,请参考 Mageia 控制中心的“网络和互联网”选项卡中的“设置新的网络接口”。
您可以在 Mageia 控制中心的 安全选项卡中找到此工具[45]。
它可以将所需权限赋予普通用户,以便完成通常由管理员完成的任务。
点击项目前的箭头符号来显示下拉列表:
Mageia 控制中心里的大部分工具都显示在窗口的左侧(见上述截图),并且每个工具都在右侧的下拉列表中有对应选项:
默认:根据所选安全等级来决定启动模式。参见此选项卡中的“配置系统安全、权限和审计”工具。
用户密码:启动工具前,需要输入用户密码。
用户密码:启动工具前,需要输入 root 密码。
无密码:启动工具前不需要输入密码。
由于缺少资源,此部分内容尚未编写。如果您希望编写此帮助,请联系文档团队。感谢您的支持。
您可通过以 root 用户在命令行输入 drakinvictus 启动该工具。
此工具[46]可以在 Mageia 控制中心的安全选项卡中找到,选项名称是“家长控制”。如果您找不到该选项,请安装 drakguard 软件包(默认情况下未安装)。
Drakguard 是一款用于家长控制的便捷软件,可以限制计算机用户的行为和使用时间。Drakguard 有以下三个特性:
通过控制 Mageia 内置的 shorewall 防火墙,它可以限制指定用户访问网络的时间。
它可以阻止指定用户执行特定命令,使得用户只能执行您所允许执行的命令。
它可以限制访问的网站,您可以手动设置网站黑名单/白名单,也可以根据网站内容进行判断。Drakguard 使用著名且开源的家长控制软件 DansGuardian 来实现这一功能。
警告
如果您的计算机硬盘中有 Ext2、Ext3 或 ReiserFS 格式的分区,您将会看到一个用于配置 ACL 的弹出窗口。ACL 即访问控制列表,该功能由 Linux 内核提供,用于指定每个文件能被哪些用户访问。Ext4 和 Btrfs 格式的分区内建了 ACL;对于 Ext2、Ext3 或 ReiserFS 格式的分区,则必须通过特定选项来开启。如果您回答了“是”,drakguard 将会对您的所有分区启用 ACL,并建议您重新启动。
阻止程序选项卡。
:如果勾选,将会启用家长控制,并显示:如果勾选,将会拦截所有网站访问(白名单选项卡中的网站除外)。否则,将允许访问所有网站(黑名单选项卡中的网站除外)。
:根据您设定的规则,左侧用户的访问将会受到限制。右侧用户的访问不会受限,以便成人用户能够方便地使用计算机。您可以从左侧的列表中选择一个用户,然后点击 将其添加到不受限的用户列表中;或者从右侧的列表中选择一个用户,然后点击 将其从不受限的用户列表中排除。
开始时间和结束时间之间,此外的时段将禁止用户访问互联网。
:若勾选,互联网访问的时间将会被限制在