En aquesta pantalla podeu triar entre diverses eines de seguretat. Feu clic a l'enllaç següent per obtenir més informació.
Seguretat
“MSEC: Sistema de seguretat i auditoria”= Configura la seguretat, els permisos i les auditories del sistema
“Configuració avançada de les interfícies de xarxa i del tallafoc”
msecgui [43] és una interfície d'usuari gràfica per a msec que permet configurar la seguretat del vostre sistema segons dos enfocaments:
Estableix el comportament del sistema, msec imposa modificacions al sistema per fer-lo més segur.
Realitza automàticament comprovacions periòdiques del sistema per avisar-vos si alguna cosa sembla perillosa.
msec utilitza el concepte de "nivells de seguretat" que estan destinats a configurar un conjunt de permisos del sistema, que es poden auditar per a canvis o aplicació. Mageia en proposa diversos, però podeu definir els vostres nivells de seguretat personalitzats.
Vegeu la captura de pantalla anterior
La primera pestanya ocupa la llista de les diferents eines de seguretat amb un botó a la dreta per configurar-les:
Tallafoc, també es troba a l'MCC / Seguretat / Configura el teu tallafoc personal
Actualitzacions, també es troben a MCC / Gestió de programari / Actualitza el sistema
msec amb alguna informació:
habilitat o no
el nivell de seguretat de base configurat
la data de les darreres comprovacions periòdiques i un botó per veure un informe detallat i un altre botó per executar les comprovacions ara mateix.
Un clic a la segona pestanya o al botó de seguretat condueix a la mateixa pantalla que es mostra a continuació.
Nivells de seguretat:
Després d'haver marcat la casella Habilita l'eina MSEC, aquesta pestanya us permet triar amb un doble clic el nivell de seguretat que apareix en negreta. Si la casella no està marcada, s'aplica el nivell «cap». Els nivells següents estan disponibles:
Nivell cap. Aquest nivell està pensat si no voleu utilitzar msec per controlar la seguretat del sistema i preferiu ajustar-lo pel vostre compte. Desactiva totes les comprovacions de seguretat i no imposa cap restricció ni restricció a la configuració i configuració del sistema. Si us plau, utilitzeu aquest nivell només si sabeu el que esteu fent, ja que deixaria el vostre sistema vulnerable a atacs.
Nivell standard. Aquesta és la configuració predeterminada quan s'instal·la i està pensada per a usuaris ocasionals. Restringeix diversos paràmetres del sistema i executa comprovacions de seguretat diàries que detecten canvis en fitxers del sistema, comptes del sistema i permisos de directoris vulnerables. (Aquest nivell és similar als nivells 2 i 3 de les versions anteriors de msec).
Nivell secure. Aquest nivell està pensat quan voleu assegurar-vos que el vostre sistema és segur, però usable. Restringeix encara més els permisos del sistema i executa més comprovacions periòdiques. A més, l'accés al sistema és més restringit. (Aquest nivell és similar als nivells 4 (Alt) i 5 (Paranoic) de les versions antigues de msec).
A més d'aquests nivells, també es proporcionen diferents seguretats orientades a tasques, com ara els nivells de servidor de fitxers, servidor web i netbook. Aquests nivells intenten preconfigurar la seguretat del sistema segons els casos d'ús més habituals.
Els dos últims nivells anomenats audit_daily i audit_weekly no són realment nivells de seguretat, sinó que només són eines per a comprovacions periòdiques.
Aquests nivells es guarden a
/etc/security/msec/level.<levelname>. Podeu definir
els vostres propis nivells de seguretat personalitzats, desant-los en
fitxers específics anomenats level.<levelname>,
emplaçats a la carpeta /etc/security/msec/. Aquesta
funció està pensada per a usuaris avançats que necessiten una configuració
del sistema personalitzada o més segura.
Atenció
Tingueu en compte que els paràmetres modificats per l'usuari tenen prioritat sobre els paràmetres de nivell predeterminats.
Alertes de seguretat:
Si marqueu la casella , les alertes de seguretat generades per msec s'enviaran per correu electrònic local a l'administrador de seguretat anomenat al camp proper. Podeu omplir un usuari local o una adreça de correu electrònic completa (el correu electrònic local i el gestor de correu electrònic s'han de configurar en conseqüència). Finalment, podeu rebre les alertes de seguretat directament al vostre escriptori. Marqueu la casella corresponent per activar-lo.
Important
És molt recomanable habilitar l'opció d'alertes de seguretat per tal
d'informar immediatament l'administrador de seguretat dels possibles
problemes de seguretat. En cas contrari, l'administrador haurà de comprovar
regularment els fitxers de registre disponibles a
/var/log/security.
Opcions de seguretat del sistema:
La creació d'un nivell personalitzat no és l'única manera de personalitzar
la seguretat informàtica, també és possible utilitzar les pestanyes que es
presenten a continuació per canviar qualsevol opció que vulgueu. La
configuració actual de msec s'emmagatzema a
/etc/security/msec/security.conf. Aquest fitxer conté
el nom del nivell de seguretat actual i la llista de totes les modificacions
fetes a les opcions.
Aquesta pestanya mostra totes les opcions de seguretat a la columna de l'esquerra, una descripció a la columna central i els seus valors actuals a la columna de la dreta.
Per modificar una opció, feu-hi doble clic i apareixerà una nova finestra (vegeu la captura de pantalla a continuació). Mostra el nom de l'opció, una breu descripció, els valors reals i predeterminats i una llista desplegable on es pot seleccionar el nou valor. Feu clic al botó per validar l'elecció.
Atenció
En sortir de msecgui, no oblideu desar definitivament la vostra configuració mitjançant el menú . Si heu canviat la configuració, msecgui us permet previsualitzar els canvis abans de desar-los.
Aquesta pestanya mostra totes les opcions de xarxa i funciona com la pestanya anterior
Les comprovacions periòdiques tenen com a objectiu informar l'administrador de seguretat mitjançant alertes de seguretat de totes les situacions que msec consideri potencialment perilloses.
Aquesta pestanya mostra totes les comprovacions periòdiques realitzades per msec i la seva freqüència si la casella està marcada. Els canvis es fan com a les pestanyes anteriors.
De vegades, els missatges d'alerta es deuen a situacions ben conegudes i desitjades. En aquests casos són inútils i fan perdre temps a l'administrador. Aquesta pestanya us permet crear tantes excepcions com vulgueu per evitar missatges d'alerta no desitjats. Òbviament està buit a l'inici del primer msec. La captura de pantalla següent mostra quatre excepcions.
Per crear una excepció, feu clic al botó
Seleccioneu la comprovació periòdica desitjada a la llista desplegable anomenada Comprovació i, a continuació, introduïu l'Excepció a l'àrea de text. Afegir una excepció òbviament no és definitiu, podeu suprimir-la utilitzant el botó de la pestanya Excepcions o modificar-la amb un doble clic
Aquesta pestanya està pensada per a la comprovació i l'aplicació de permisos de fitxers i directoris.
Igual que per a la seguretat, msec posseeix diferents nivells de permisos
(estàndard, segur, ..), s'activen en conseqüència amb el nivell de seguretat
escollit. Podeu crear els vostres propis nivells de permisos personalitzats,
desant-los en fitxers específics anomenats
perm.<levelname> situats a la carpeta
/etc/security/msec/ . Aquesta funció està pensada per a
usuaris avançats que necessiten una configuració personalitzada. També és
possible utilitzar la pestanya que es presenta aquí després per canviar els
permisos que vulgueu. La configuració actual s'emmagatzema a
/etc/security/msec/perms.conf. Aquest fitxer conté la
llista de totes les modificacions fetes als permisos.
Els permisos per defecte són visibles com una llista de regles (una regla per línia). Podeu veure a la part esquerra, el fitxer o la carpeta afectats per la regla, després el propietari, després el grup i després els permisos donats per la regla. Si, per a una regla donada:
la casella Imposa no està marcada, msec només comprova si es respecten els permisos definits per a aquesta regla i envia un missatge d'alerta si no, però no modifica res.
la casella Imposa està marcada, aleshores msec regirà el respecte dels permisos a la primera comprovació periòdica i sobreescriurà els permisos.
Important
Perquè això funcioni, l'opció CHECK_PERMS a la pestanya Comprovacións periòdiques s'ha de configurar en conseqüència.
Per crear una regla nova, feu clic al botó i ompliu els camps tal com es mostra a l'exemple següent. El comodí * està permès al camp Fitxer. "actual" vol dir que no hi ha cap modificació.
Feu clic al botó per validar l'elecció i no us oblideu en sortir de desar definitivament la vostra configuració mitjançant el menú . Si heu canviat la configuració, msecgui us permet previsualitzar els canvis abans de desar-los.
Nota
També és possible crear o modificar les regles editant el fitxer de
configuració /etc/security/msec/perms.conf.
Atenció
Els canvis a la pestanya Permisos (o directament al fitxer de configuració) es tenen en compte en la primera comprovació periòdica (vegeu l'opció CHECK_PERMS a la pestanya Comprovacions periòdiques). Si voleu que es tinguin en compte immediatament, utilitzeu l'ordre msecperms en una consola amb drets de root. Abans podeu utilitzar l'ordre msecperms -p per conèixer els permisos que canviarà msecperms.
Atenció
No oblideu que si modifiqueu els permisos en una consola o en un gestor de fitxers, per a un fitxer on la casella Imposa està marcada a la pestanya Permisos, msecgui tornarà a escriure els permisos antics al cap d'un temps, segons la configuració de les opcions. CHECK_PERMS i CHECK_PERMS_ENFORCE a la pestanya Comprovacions periòdiques .
Aquesta eina [44] es troba a la pestanya Seguretat del Centre de Control de Mageia amb l'etiqueta "Configura el teu tallafoc personal". És la mateixa eina de la primera pestanya de "Configura la seguretat del sistema, els permisos i l'auditoria".
Un tallafoc bàsic s'instal·la per defecte amb Mageia. Totes les connexions entrants des de l'exterior estan bloquejades si no estan autoritzades. A la primera pantalla de dalt, podeu seleccionar els serveis per als quals s'accepten intents de connexió externa. Per a la vostra seguretat, desmarqueu la primera casella - Tot (sense tallafoc) - tret que vulgueu desactivar el tallafoc i només marqueu els serveis necessaris.
És possible introduir manualment els números de port per obrir. Feu clic a i s'obrirà una finestra nova. Al camp Altres ports, introduïu els ports necessaris seguint aquests exemples:
80/tcp : obriu el port 80 protocol tcp
24000:24010/udp: obre tots els ports del 24000 al 24010 protocol udp
Els ports llistats han d'estar separats per un espai.
Si la casella Registra els missatges del tallafoc als registres del sistema està marcada, els missatges del tallafoc es desaran als registres del sistema
Nota
Si no allotgeu serveis específics (servidor web o de correu, compartició d'arxius,...) és totalment possible que no tingui res marcat, fins i tot és recomanable, no us impedirà connectar-vos a internet.
La següent pantalla tracta de les opcions del tallafoc interactiu. Aquestes funcions us permeten ser advertits dels intents de connexió si almenys la primera casella Utilitza el tallafocs interactiu està marcada. Marqueu la segona casella per ser advertit si els ports s'escanegen (per tal de trobar un error en algun lloc i entrar a la vostra màquina). Cada casella a partir de la tercera, correspon a un port que has obert a les dues primeres pantalles; a la captura de pantalla següent, hi ha dues caselles d'aquest tipus: servidor SSH i 80:150/tcp. Comproveu-los perquè els avisin cada vegada que s'intenta una connexió en aquests ports.
Aquests avisos es donen mitjançant finestres emergents d'alerta a través de la miniaplicació de xarxa.
A l'última pantalla, trieu quines interfícies de xarxa estan connectades a Internet i s'han de protegir. Un cop fet clic al botó D'acord, es descarreguen els paquets necessaris.
Suggeriment
Si no saps què triar, fes una ullada al MCC pestanya Xarxa i Internet, icona Configura una interfície de xarxa nova.
Aquesta eina[45] està present al Centre de Control de Mageia a la pestanya Seguretat
Permet donar als usuaris habituals els drets necessaris per dur a terme les tasques que normalment fa l'administrador.
Feu clic a la petita fletxa abans de l'element que voleu desplegar:
La majoria de les eines disponibles al Centre de Control de Mageia es mostren a la part esquerra de la finestra (vegeu la captura de pantalla anterior) i per a cada eina, una llista desplegable a la dreta ofereix l'opció entre:
Per defecte: el mode d'inici depèn del nivell de seguretat escollit. Vegeu a la mateixa pestanya "Seguretat" de l'MCC, l'eina "Configura la seguretat, els permisos i l'auditoria del sistema".
Contrasenya d'usuari: la contrasenya de l'usuari es demana abans que s'iniciï l'eina.
Contrasenya de l'administrador: es demana la contrasenya de root abans que s'iniciï l'eina
Sense contrasenya: l'eina s'inicia sense demanar cap contrasenya.
Aquesta pàgina encara no s'ha escrit per falta de recursos. Si creieu que podeu escriure aquesta ajuda, contacteu amb l'Equip de Documentació. Gràcies per endavant.
Podeu iniciar aquesta eina des de la línia d'ordres, escrivint drakinvictus com a root.
Aquesta eina [46] es troba al Centre de Control de Mageia, a la pestanya Seguretat, anomenada Control patern. Si no veieu aquesta etiqueta, heu d'instal·lar el paquet drakguard (no instal·lat per defecte).
Drakguard és una manera senzilla de configurar els controls paterns a l'ordinador per restringir qui pot fer què i a quina hora del dia. Drakguard té tres capacitats útils:
Restringeix l'accés web als usuaris nomenats per establir les hores del dia. Ho fa mitjançant l'ús de shorewall, el tallafoc integrat a Mageia.
Bloqueja l'execució d'ordres particulars per part dels usuaris nomenats, de manera que aquests usuaris només poden executar allò que accepteu que executin.
Restringeix l'accés als llocs web, tant definits manualment mitjançant llistes negres/llistes blanques, com també de forma dinàmica en funció del contingut del lloc web. Per aconseguir-ho, Drakguard utilitza el principal bloquejador de control parental de codi obert DansGuardian.
Avís
Si el vostre equip conté particions del disc dur que estan formatats a Ext2, Ext3, o format ReiserFS veureu una finestra emergent que ofereix configurar les ACL en les seves particions. ACL és sinònim de llistes de control d'accés, i és una característica del nucli de Linux que permet accedir a fitxers individuals que es restringeix als usuaris nomenats. ACL està integrat en els sistemes de fitxers Ext4 i Btrfs, però ha de ser habilitada per una opció a particions ext2, ext3 o reiserfs. Si seleccioneu "Sí" a aquesta sol·licitud drakguard configurarà totes les particions per donar suport ACL, i llavors et suggereix reiniciar el sistema.
: si està marcat, el control patern està habilitat i s'obre l'accés a la pestanya Bloqueja programes.
: si està marcat, es bloquejaran tots els llocs web, excepte els de la pestanya de la llista blanca. En cas contrari, es permeten tots els llocs web, excepte els de la pestanya de la llista negra.
: els usuaris de l'esquerra tindran el seu accés restringit segons les regles que definiu. Els usuaris del costat dret tenen accés sense restriccions, de manera que els usuaris adults de l'ordinador no es veuran molestats. Seleccioneu un usuari a la part esquerra i feu clic a per afegir-lo com a usuari permès. Seleccioneu un usuari a la part dreta i feu clic a per eliminar-lo dels usuaris permesos
: si està marcat, es permet l'accés a Internet amb restriccions entre l'hora d'començament i l'hora d'acabament. Està totalment bloquejat fora d'aquesta finestra de temps.
Introduïu l'URL del lloc web al primer camp de la part superior i feu clic al botó .
[43] Podeu iniciar aquesta eina des de la línia d'ordres, escrivint msecgui com a root.
[44] Podeu iniciar aquesta eina des de la línia d'ordres, escrivint drakfirewall com a root.
[45] Podeu iniciar aquesta eina des de la línia d'ordres, escrivint draksec com a root.
[46] Podeu iniciar aquesta eina des de la línia d'ordres, escrivint drakguard com a root.
